Neue PHP-Versionen schließen zahlreiche Lücken

PHP 5.2.2 und 4.4.7 stehen zum Download bereit. In beiden Versionen wurden zahlreiche Sicherheitslücken geschlossen, die teilweise im Rahmen des Month of PHP Bugs aufgedeckt wurden. Allein Version 5.2.2 weist im Changelog 15 Einträge zu Schwachstellen auf, in Version 4.4.7 sind dies immerhin noch 11.

Die meisten geschlossenen Sicherheitslücken ließen sich nur lokal ausnutzen, was aber insbesondere Nutzer von Shared Webspace in Gefahr brachte. Eine Lücke in der Verabeitung von XML-RPC-Request soll sich aber auch aus der Ferne ausnutzen lassen, um einen Server zu kompromittieren. Diese ist nun auch in beiden Versionen geschlossen.

Darüber hinaus wurden viele nicht sicherheitsrelevante Fehler behoben und mehrere Verbesserungen hinzugefügt. Ubuntu und Debian haben bereits neue PHP-Pakete zur Verfügung gestellt, die anderen Distributoren dürften demnächst nachziehen. Anwender sollten so bald wie möglich auf die neuen Versionen wechseln oder die Pakete einspielen.

Siehe dazu auch:

• PHP 4.4.7 Release Announcement, Meldung auf php.net
• PHP 5 ChangeLog, Meldung auf php.net
• PHP5 vulnerabilities, Meldung auf Ubuntu
• New php5 packages fix several vulnerabilities, Fehlerbericht von Debian
• New php4 packages fix several vulnerabilities, Fehlerbericht von Debian

(dab)