PHP-Entwickler schließen Sicherheitsloch

Ein PHP-Entwickler hat ein Sicherheitsproblem in der Skriptsprache für Web-Sites entdeckt und auch gleich beseitigt. Es betrifft die Behandlung von so genannten POST-Requests, über die Benutzer Daten an den Web-Server übermitteln können. Durch spezielle Eingaben kann es zu einem Fehler in der Speicherverwaltung von PHP kommen. Auf x86-Architekturen führt dies höchstwahrscheinlich nur zum Absturz des Servers -- eine Möglichkeit, gezielt Programme oder Code auszuführen, sieht der Entdecker hier nicht. Auf Solaris/SPARC-Servern (und möglicherweise anderen Nicht-Intel-Architekturen) räumt er diese Gefahr jedoch ein.

Das PHP-Team bewertet das Sicherheitsloch als "kritisch" und empfiehlt insbesondere Administratoren von nicht-Intel-Servern ein Upgrade auf die bereitgestellte Version 4.2.2. Diese unterscheidet sich ausschließlich durch den Patch für das Leck vom Vorgänger 4.2.1. Wo dies nicht möglich ist, sollte man POST-Operationen auf dem Server deaktivieren. (ju)