Kritische Lücken in PHP geschlossen
Updates schließen Sicherheitslöcher in PHP, die sich unter anderem ausnutzen lassen, um Shell-Befehle einzuschleusen.
Ein ganzer Schwung Sicherheitsupdates beseitigt kritische Schwachstellen in PHP. Darunter befindet sich eine Lücke in der Funktion escapeshellarg(), durch die Angreifer Shell-Befehle auf dem Server ausführen können [1]. Einige der Schwachstellen befinden sich in dem mitgelieferten sqlite, das durch die Updates auf den aktuellen, sicheren Stand gebracht wird.
Die abgesicherten PHP-Versionen lauten 5.6.10 [2], 5.5.26 [3] und 5.4.42 [4], verwundbar sind alle älteren. Wer einen Server administriert, auf dem PHP zum Einsatz kommt, sollte möglichst schnell auf eine davon umsteigen (Linux [5] / Windows [6]). (rei [7])
URL dieses Artikels:
https://www.heise.de/-2689960
Links in diesem Artikel:
[1] https://bugs.php.net/bug.php?id=69646
[2] http://php.net/ChangeLog-5.php#5.6.10
[3] http://php.net/ChangeLog-5.php#5.5.26
[4] http://php.net/archive/2015.php#id2015-06-11-4
[5] http://php.net/downloads.php
[6] http://windows.php.net/download/
[7] mailto:rei@heise.de
Copyright © 2015 Heise Medien