zurück zum Artikel

PHP 5.1.2 erschienen [2.Update]

Mattias Hermannstorfer

Die Skriptsprache PHP liegt nun in der Version 5.1.2 vor, die mehrere Sicherheitslücken schließt, 85 Fehlerbereinigungen und außerdem einige Funktionserweiterungen enthält.

Das Update der Skriptsprache PHP [1] auf 5.1.2 behebt diverse Fehler und schließt einige Sicherheitslücken seit der etwas überstürzt herausgebrachten Version 5.1.1 [2]. Neben 85 Bugfixes bringt die neue Release aber auch einige Funktionserweiterungen.

So ist die Unterstützung für die gebräuchlichen Hash-Algorithmen nun ebenso integriert wie der XMLWriter oder die Kompression des PNG-Bildformats. Oracle-Datenbanken können nun über eine neue OCI8-Erweiterung angesprochen werden. Eine vollständige Liste der Änderungen findet sich im Changelog [3].

Update
Unter anderem ist in der neuen Version auch eine Format-String-Schwachstelle in der mysqli-Erweiterung beseitigt, mit der sich Code einschleusen und ausführen lässt. Ursache des Problems ist die fehlerhafte Verarbeitung von Error-Meldungen. Laut Stefan Esser, Entdecker der Lücke, ist es allerdings nicht so einfach, manipulierte Fehlermeldungen zu übergeben. Ausgeschlossen ist es indes nicht, beispielsweise kann ein Angreifer einen MySQL-Server unter seine Kontrolle bringen und dessen Fehlermeldungen manipulieren.

Zudem berichtet Esser über eine Lücke in der Session-Extension, die sich für sogenannte HTTP-Response-Splitting-Attacken ausnutzen lässt. Dabei kann ein Angreifer eigene HTTP-Daten in die Antworten eines Servers einschleusen und etwa für Cross-Site-Scripting- und Phishing-Attacken ausnutzen.

Siehe dazu auch: (mhe)

URL dieses Artikels:
https://www.heise.de/-165220

Links in diesem Artikel:
[1] http://www.php.net
[2] https://www.heise.de/news/Fiasko-bei-Entwicklung-von-PHP-5-1-152807.html
[3] http://www.php.net/ChangeLog-5.php#5.1.2
[4] http://www.hardened-php.net/advisory_022006.113.html
[5] http://www.hardened-php.net/advisory_012006.112.html

Copyright © 2006 Heise Medien