Alert!

Programmiersprache: Sicherheitslücke ermöglicht Codeschmuggel in PHP

Mit neuen PHP-Versionen schließen die Entwickler Sicherheitslücken, die Angreifern unter Umständen das Einschleusen von Schadcode ermöglichen könnten.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Aufmacher PHP-Updates schließen Sicherheitslücken

(Bild: Shutterstock)

Lesezeit: 1 Min.
Von

Die PHP-Entwickler haben neue Versionen des Interpreters veröffentlicht, die mindestens eine Sicherheitslücke schließen. Sofern eine Filterfunktion FILTER_VALIDATE_FLOAT mit min- und max-Begrenzung genutzt wird und der Filter – angedeutet in den Changelogs der PHP-Maintainer etwa bei Integer-Werten – fehlschlägt, könnte das eine Use-after-free-Lücke aufreißen. Das kann in einen Absturz münden oder potenziell zum Überschreiben von Speicherbereichen und in der Folge zur Ausführung untergeschobenen Schadcodes missbraucht werden (CVE-2021-21708, CVSS 8.2, Risiko hoch).

Die Schwachstelle betrifft PHP in den Versionen 7.4.x vor 7.4.28, 8.0.x vor 8.0.16 sowie 8.1.x vor 8.1.3. PHP 7.4.28 schließt ausschließlich das Sicherheitsleck. Version 8.0.16 (Changelog) und 8.1.3 (Changelog) hingegen beheben weitere, jedoch nicht sicherheitsrelevante Fehler, darunter Speicherlecks.

Auf der PHP-Website stehen Downloads etwa von aktualisierten Windows-Binärdateien sowie neue Quellcode-Pakete bereit. Linux-Distributionen dürften ebenfalls in Kürze aktualisierte Pakete verteilen. Administratoren, die PHP einsetzen, sollten das Update zeitnah einplanen und durchführen.

Lesen Sie auch:

Themenseite zu PHP auf heise online

(dmk)