Im Zuge eines Bug-Reports hat Sicherheitsforscher Stefan Esser für seine PHP-Sicherheits-Erweiterung Suhosin eine potenziell kritische Sicherheitslücke in der Programmiersprache PHP entdeckt (CVE-2014-3622).

Ein Angreifer könnte unter bestimmten Umständen die Lücke zum auslösen eines Pufferüberlaufs missbrauchen, um Schadcode auszuführen. Die Lücke ist zwar aus der Ferne ausnutzbar und einfach zu missbrauchen, Esser teilte allerdings in seinem Bug-Report mit, dass ihm zurzeit kein Szenario bekannt sei, in welchem die Lücke eine Gefahr darstellt.

Obwohl noch kein Angriffsweg bekannt ist, haben die PHP-Entwickler mit dem Update auf PHP 5.6.1 Anfang Oktober das Problem behoben. Der Fix wird allerdings nicht als Sicherheits-Patch eingestuft. IBMs X-Force-Team stuft die Lücke hingegen als hohes Risiko ein.

PHP 5.6.1 schließt auch eine Reihe nicht sicherheitsrelevanter Bugs. Auf der Webseite des Projektes kann der Quellcode für die neue PHP-Version heruntergeladen werden.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE