PHP 5.2.6 dichtet Sicherheitslücken ab

Die PHP-Entwickler haben die Version 5.2.6 der Skriptsprache veröffentlicht, die zahlreiche Fehler behebt sowie einige Sicherheitslücken schließt. Die Änderungen sind umfangreich. Die neue Version enthält viele kleine Bugfixes, auch in Modulen, die Produkte von Drittherstellern anbinden. PHP 5.2.6 behebt zudem mehrere Fehler, die zu Abstürzen führen konnten.

In der FastCGI-Programmierschnittstelle haben die Programmierer Fehler beseitigt, die in stackbasierten Pufferüberläufen münden konnten. In printf() konnte ein Ganzzahlüberlauf auftreten. Ein derzeit noch unbekanntes Sicherheitsleck, das im Archiv Common Vulnerabilties and Exposures (CVE) mit der Nummer CVE-2008-0599 gelistet wird, soll in PHP 5.2.6 nicht mehr vorhanden sein.

In cURL haben die Programmierer eine Lücke ausgebessert, die Angreifer zur Umgehung des safe_mode nutzen konnten. Zudem korrigierten die Entwickler einen fehlerhaften Patch, der eine Endlosschleife in der zlib beheben sollte.

Die mitgelieferte Version der Perl-Compatible-Regular-Expressions-Bibliothek (PCRE) ist jetzt auf dem Stand 7.6, der ebenfalls einige Sicherheitslücken abdichtet. Für einen Fehler in libcurl 7.16.2, der einen Absturz verursachen konnte, haben die Entwickler einen Workaround eingebaut.

Auf der Download-Seite des PHP-Projektes taucht die neue Version noch nicht auf, sie ist jedoch als Direkt-Download bereits verfügbar. Auch das Changelog ist noch auf dem Stand von PHP 5.2.5; im Quellcode-Archiv finden sich die Änderungen jedoch in der NEWS-Datei.

Administratoren sollten sobald wie möglich auf die aktuelle PHP-Version aktualisieren, da sich einige der darin behobenen Fehler zum Einschleusen von Schadcode eignen. Weitere Hinweise zur Absicherung eines Webservers mit PHP liefert der Hintergrundartikel Grundsicherung für PHP-Software auf heise Security.

Siehe dazu auch:

• Changelog für PHP 5 von den PHP-Entwicklern
• Download der PHP-5.2.6-Quellen
• Download von PHP-5.2.6 für Windows

(dmk)