PHP 5.6.1 schließt potentiell gefährlichen Pufferüberlauf
Die aktuelle PHP-Version behebt eine Reihe von Bugs, darunter auch eine von Stefan Esser entdeckte Sicherheitslücke. Diese ist einfach auszunutzen und kann missbraucht werden, um aus der Ferne Schadcode auszuführen.
- Fabian A. Scherschel
Sicherheitsforscher Stefan Esser hat im Zuge eines Bug-Reports für seine PHP-Sicherheits-Erweiterung Suhosin eine potenziell kritische Sicherheitslücke in der Programmiersprache PHP entdeckt (CVE-2014-3622). Unter bestimmten Umständen könnte ein Angreifer die Lücke dazu missbrauchen, einen Pufferüberlauf auszulösen, um Schadcode auszuführen. Die Lücke ist zwar theoretisch einfach zu missbrauchen und aus der Ferne ausnutzbar, allerdings gibt Esser in seinem Bug-Report zu bedenken, dass ihm momentan keine Einsatzmöglichkeit von PHP bekannt sei, in welcher der Fehler eine reale Gefahr darstellt.
Die PHP-Entwickler haben trotz unmittelbaren Fehlens eines Angriffsvektors das Problem mit dem Update auf PHP 5.6.1 Anfang Oktober behoben. Allerdings stufen sie den Fix nicht als Sicherheits-Patch ein. Das X-Force-Team von IBM hingegen rechnet der Lücke ein hohes Risiko zu. Außer der von Esser entdeckten Sicherheitslücke schließt PHP 5.6.1 auch eine Reihe von Bugs, die allerdings nicht sicherheitsrelevant sind. Quellcode für die neue PHP-Version kann auf der Webseite des Projektes heruntergeladen werden. (fab)