PHP 5.2.3 erschienen
Behoben wurden in der neuen Version unter anderem ein Integer-Überlauf, ein Verzeichnisausbruch im Safe-Mode sowie ein möglicher Denial-of-Service durch manipulierte PNG-Bilder.
- Christiane RĂĽtten
Mit der neuen PHP-Version 5.2.3 beheben die Entwickler mehrere sicherheitsrelevante Schwachstellen. Die Release-Notes umfassen unter anderem die Behebung eines Integer-Überlaufs in der Funktion chunk_split() und einer Ausbruchsmöglichkeit für die Pfadrestriktionen des Safe-Mode durch einen Fehler in der Funktion realpath() sowie die Schließung einer Lücke in der Funktion imagecreatefrompng().
Bei zwei Bugfixes – einer im Timeout-Handling von SSL-Verbindungen und einer im Zusammenhang mit fehlenden HTTP_RAW_POST-Daten – handelt es sich um Nachbesserungen von Patches in der Vorgängerversion 5.2.2. Offenbar sind die Programmierer auch noch mit den Aufräumarbeiten nach dem Month of PHP Bugs beschäftigt: Ein Patch für den eingebauten E-Mail-Adressen-Filter, der sich durch Anhängen eines Newline-Zeichens umgehen ließ, hatte es nicht mehr in Version 5.2.2 geschafft und wurde nun nachgereicht.
Über die möglichen Auswirkungen der beseitigten Lücken und Programmierfehler ist in den Release-Notes leider nichts zu lesen. Mit den spärlichen Informationen dürften selbst erfahrene Systemadministratoren Schwierigkeiten haben, die Dringlichkeit des Updates abzuschätzen. Der Sicherheitsdienstleister FrSIRT stuft das Update jedoch als "moderate" ein. Die PHP-Entwickler weisen lediglich lapidar darauf hin, dass alle Anwender auf die neue Version aktualisieren sollten.
Siehe dazu auch:
- PHP 5.2.3 Released, offizielle Release-Notes zur neuen Version
- Neue PHP-Versionen schließen zahlreiche Lücken, Meldung von heise Security zur Vorgängerversion
(cr)
