Sicherheitsupdates: PHP anfällig für Remote Code Execution
Angreifer können verschiedenen PHP-Versionen aus der Ferne Schadcode unterjubeln. Drei abgesicherte Versionen schließen zwei Sicherheitslücken.
(Bild: dpa, Karl-Josef Hildenbrand/Symbol)
Die PHP-Versionen 5.5, 5.6 und 7.0 sind über zwei Sicherheitslücken verwundbar. Angreifer können diese aus der Ferne attackieren, Speicherfehler auslösen und eigenen Code auf Systeme schieben und ausführen.
Die Schwachstellen wurden in den zum Download bereitstehenden Versionen PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die Windows-Binaries finden sich auf einer anderen Webseite.
Die Lücke mit der Kennung CVE-2016-3078 betrifft ausschließlich den PHP-Versionsstrang 7 und davon nur die Versionen vor 7.0.6. Setzen Angreifer hier an, können sie über ein präpariertes Zip-Archiv einen Speicherfehler provozieren und eigenen Code ausführen.
Die zweite Schwachstelle (CVE-2016-3074) klafft in der Bilder-Bibliothek libgd 2.1.1, die seit PHP 4.3 standardmäßig bei der Default-Installation dabei ist. Um hier einen Speicherfehler auszulösen, müssen Angreifer einem Opfer komprimierte gd2-Daten unterjubeln. Anschließend können sie das System crashen oder Schadcode ausführen.
[UPDATE, 04.05.2016 11:30 Uhr]
Von CVE-2016-3078 betroffene Versionen korrigiert. (des)
