PHP 5.2.4 – mehr Stabilität, weniger Fehler

heise.de berichtet:

In der Version 5.2.4 der Skriptsprache PHP räumen die Entwickler mit einigen als nicht kritisch eingestuften Sicherheitslücken und zahlreichen weiteren Fehlern auf, die sich auf die Stabilität der Software auswirken. Insgesamt wollen die Programmierer mehr als 120 Fehler beseitigt haben.

Unter anderem war es in den Vorversionen möglich, Beschränkungen durch open_basedir in der Funktion glob() oder in der session-Erweiterung zu umgehen, wenn die session-Datei ein symbolischer Link war. Außerdem konnten in der GD-Erweiterung Integer-Überlaufe auftreten. Die mitgelieferte PCRE-Komponente zur Verarbeitung von regulären Ausdrücken wurde auf den Versionsstand 7.2 gehievt.

Laut Stefan Esser haben die Entwickler auch eine Denial-of-Service-Lücke (DoS) geschlossen. Mit Version 5.2.2 von PHP hatten sie standardmäßig die maximale Tiefe von Arrays auf 64 gesetzt, um einen beim Month of PHP-Bugs veröffentlichten Fehler zu beheben. Dies betrifft nicht nur die HTTP-Methoden POST und GET, sondern auch Cookies. In manchen Webbrowsern können Esser zufolge Seiten unter Umständen für Top-Level-Domains Cookies anlegen, wodurch PHP-generierte Webseiten auf verwundbaren PHP-Installationen in dieser Domain Fehlerseiten oder leere Seiten ausliefern.

Die weiteren Lücken ließen sich offenbar nur in Verbindung mit anderen Schwachstellen ausnutzen. Die vollständige Liste der Änderungen listet das Changelog zu dem neuen Release auf. Die PHP-Entwickler raten allen PHP-Nutzern zu einem Upgrade auf die Version 5.2.4, die auf den Seiten des Projektes zum Download bereitsteht.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s