Kritische Sicherheitslücken: PHP 8.3.12, 8.2.24 und 8.1.30 dichten Lecks ab
Die PHP-Entwickler haben PHP 8.3.12, 8.2.24 und 8.1.30 veröffentlicht. Darin schließen sie mehrere, teils kritische Sicherheitslücken.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Admins, die sich schon auf den Weg ins Wochenende machen wollten, sollten noch mal rasch an den Verwaltungs-PC: Die PHP-Entwickler haben die Versionen 8.3.12 und 8.2.24 veröffentlicht. Diese schließen teils als kritisches Risiko eingestufte Sicherheitslücken.
Die Versionsankündigungen für PHP 8.3.12, PHP 8.2.24 und PHP 8.1.30 sind äußerst knapp. "Dies ist ein Sicherheits-Release. Allen PHP 8.[1|2|3] Nutzern sei empfohlen, auf diese Version zu aktualisieren" lauten die Ankündigungen, deren einziger Unterschied die Versionsnummer ist.
Changelogs mit einer Menge Schwachstellen
Ähnlich sieht es bei den Changelogs zu Version 8.3.12 und 8.2.24 aus. Sie sind nahezu identisch. Ausnahme ist ein zusätzlich korrigierter Fehler in PHP 8.3.12, der in 8.2.24 offenbar nicht vorhanden ist. Dabei handelt es sich laut Kurzbeschreibung um einen Signed-Integer-Überlauf in ext/dom/nodelist.c. Wesentlich schlimmer ist jedoch ein Wiedergänger einer alten Lücke in PHP-Versionen vor den nun neu veröffentlichten. Es geht erneut um die bekannte Sicherheitslücke CVE-2024-4577 – der bisherige Patch reicht nicht aus, die damit getroffenen Gegenmaßnahmen lassen sich umgehen. Details fehlen noch, der CVE-Eintrag CVE-2024-8926 ist zum Meldungszeitpunkt noch auf Status "reserved". Tenable verrät jedoch, dass der CVSS-Wert 9.1 beträgt, die Lücke mithin "kritisch" ist und die Windows-Version von PHP. betrifft. Das Changelog für PHP 8.1.30 fällt hingegen deutlich kürzer aus.
IT-Verantwortliche sollten die aktualisierten PHP-Versionen zügig installieren. Die Vorgänger-Schwachstelle CVE-2024-4577 wurde bereits im Juni in freier Wildbahn angegriffen. Die CISA hat davor mit der Aufnahme des Sicherheitslecks in den Known-Exploited-Vulnerabitlites-Katalog gewarnt. Etwas Salz streut in die Wunde, dass auch CVE-2024-4577 lediglich eine Variante eines 12 Jahre älteren Fehlers (CVE-2012-1823) war, den die Programmierer auch da nicht vollständig korrigiert haben.
Aktualisierte Quellcode-Pakete gibt es auf der PHP-Download-Seite. Für Windows gibt es neben den Quellen auf einer eigenen Download-Seite zudem fertig installierbare Binärdateien. Da die neuen Releases weitere Sicherheitslücken abdichten und die PHP-Maintainer allen Nutzerinnen und Nutzern eine Aktualisierung empfehlen, sollten Linux-Nutzer die Softwareverwaltung der eingesetzten Distribution anwerfen, um damit nach fehlerkorrigierten PHP-Paketen zu suchen und diese zu installieren.
In der Meldung verdeutlicht, dass die hervorgehobene, kritische Lücke PHP unter Windows betrifft. Die neuen Version schließen weitere Sicherheitsleck, die auch andere Betriebssysteme betreffen. Zudem PHP Version 8.1.30 ergänzt, die neben der Lücke unter Windows auch weitere abdichtet.
(dmk)
