PHP 4.4.3 schließt vier Monate alte Lücken

Die neue PHP-Version 4.4.3 beseitigt neben 20 unkritischen Fehlern auch einige seit mehreren Monaten offenen Sicherheitslücken. Unter anderem ließ sich in der Funktion wordwrap() ein Buffer Overflow provozieren. Ob darüber das Einschleusen und Ausführen von Code möglichwar, geben die Entwickler nicht an. Des Weiteren wurden Schwachstellen in den Funktionen tempnam() und phpinfo() beseitigt, die in PHP 5 seit Version 5.1.3 vom Anfang Mai bereinigt sind – bekannt sind sie sogar seit Mitte April 2006.

Dass sich die Entwickler mit den Fixes so viel Zeit gelassen haben, ist unerfreulich. Immerhin ermöglicht die Lücke in phpinfo() das Einschleusen von JavaScript in den Browser eines Opfers, mit denen Angreifer beispielsweise Cookies der Anwender auslesen können. Durch den Fehler in tempname() ließ sich die open_basedir-Zugriffsbeschränkung, eine Alternative zum Safe Mode, austricksen, die ein Ausbrechen des Anwenders aus seinem Heimatverzeichnis verhindern soll. Auch der Buffer Overflow in wordwrap() ist seit April bekannt. Allerdings wird PHP 4 auch nicht mehr weiterentwickelt. Sicherheitsupdates gibt es jedoch weiterhin – wenn auch offenbar mit erheblicher Verzögerung.

Darüber hinaus wurde der Safe_mode-Check für die error_log()-Funktion verbessert und die Parameterprüfung in substr_compare() sicherer gemacht. Die PCRE-Bibliothek (Perl Compatible Regular Expressions) zur Auswertung von regulären Ausdrücken wurde in PHP 4.4.3 auf Version 6.6 aktualisiert. Die Entwickler empfehlen das Update so bald wie möglich zu installieren. Anwender sollten aber abwägen, ob der vollständige Wechsel auf PHP 5 nicht sinnvoller ist.

Siehe dazu auch: (dab)

• PHP 4.4.3, Release Announcement von php.net