PHP 5.2.4 - mehr Stabilität, weniger Fehler

Die PHP-Entwickler haben die Version 5.2.4 der Skriptsprache veröffentlicht, die vor allem stabiler laufen soll. Dabei haben sie auch einige Schwachstellen beseitigt.

In Pocket speichern vorlesen Druckansicht 332 Kommentare lesen
Lesezeit: 2 Min.
Von

In der Version 5.2.4 der Skriptsprache PHP räumen die Entwickler mit einigen als nicht kritisch eingestuften Sicherheitslücken und zahlreichen weiteren Fehlern auf, die sich auf die Stabilität der Software auswirken. Insgesamt wollen die Programmierer mehr als 120 Fehler beseitigt haben.

Unter anderem war es in den Vorversionen möglich, Beschränkungen durch open_basedir in der Funktion glob() oder in der session-Erweiterung zu umgehen, wenn die session-Datei ein symbolischer Link war. Außerdem konnten in der GD-Erweiterung Integer-Überlaufe auftreten. Die mitgelieferte PCRE-Komponente zur Verarbeitung von regulären Ausdrücken wurde auf den Versionsstand 7.2 gehievt.

Laut Stefan Esser haben die Entwickler auch eine Denial-of-Service-Lücke (DoS) geschlossen. Mit Version 5.2.2 von PHP hatten sie standardmäßig die maximale Tiefe von Arrays auf 64 gesetzt, um einen beim Month of PHP-Bugs veröffentlichten Fehler zu beheben. Dies betrifft nicht nur die HTTP-Methoden POST und GET, sondern auch Cookies. In manchen Webbrowsern können Esser zufolge Seiten unter Umständen für Top-Level-Domains Cookies anlegen, wodurch PHP-generierte Webseiten auf verwundbaren PHP-Installationen in dieser Domain Fehlerseiten oder leere Seiten ausliefern.

Die weiteren Lücken ließen sich offenbar nur in Verbindung mit anderen Schwachstellen ausnutzen. Die vollständige Liste der Änderungen listet das Changelog zu dem neuen Release auf. Die PHP-Entwickler raten allen PHP-Nutzern zu einem Upgrade auf die Version 5.2.4, die auf den Seiten des Projektes zum Download bereitsteht.

Siehe dazu auch:

(dmk)