Neue PHP-Version schafft httpoxy-Problem aus der Welt
PHP 7.0.9 bringt keine neuen Funktionen mit, sondern das Team hat ausschließlich Sicherheitslücken geschlossen.
(Bild: dpa, Karl-Josef Hildenbrand/Symbol)
Das PHP-Team hat seine Skriptsprache abgesichert und in der neuen Version 7.0.9 neun Schwachstellen gestopft. Wie im Changelog beschrieben, können Angreifer in den meisten Fällen über verschiedene Wege Speicherfehler provozieren, um Schad-Code auf Servern auszuführen. Auch DoS-Angriffe sind möglich.
Attacken sollen Angreifern unter Umständen aus der Ferne und ohne Authentifizierung gelingen. Die fehlerbereinigte Version 7.0.9 steht ab sofort zum Download bereit.
PHP 7.0.9 ist auch gegen die httpoxy-Schwachstelle gewappnet. Durch dieses Sicherheits-Problem kann ein Angreifer ausgehenden Datenverkehr eines Servers umleiten und mitlesen. Diese Lücke ist schon seit 2001 bekannt, wurde aber erst kürzlich tiefgehend analysiert. Davon sind viele Server-Anwendungen betroffen. Das Notfallteam des BSI CERT Bund stuft das von der Lücke ausgehende Risiko als hoch ein.
Update vom 22. Juli, 12 Uhr: Inzwischen ist auch Version 5.6.24 verfügbar, in der die oben beschriebenen Sicherheitslücken ebenfalls gestopft wurden.
Update vom 22. Juli, 16:10 Uhr: Einschätzung des Risikos vom CERT Bund angepasst und neu verlinkt. (des)
