Die Entwickler der Skriptingsprache beheben mit PHP 5.6.5 mehrere Sicherheitslücken. Eine davon befindet sich in der Funktion unserialize() und heißt Use-After-Free-Lücke, welche zum zweiten Mal gepatcht wird (CVE-2015-0231).

Sicherheitsforscher Stefan Esser, der im Dezember für ein Update gesorgt hatte, entdeckte die Lücke. Der Patch wurde von den PHP-Entwicklern anscheinend nicht genauso umgesetzt, wie von Esser empfohlen. Dadurch konnte die Lücke mit einer leichten Abwandlung witerhin ausgenutzt werden. Laut den Entwicklern sollte dies mit diesem Update nicht mehr möglich sein.

Die Funktion unserialize() wird von Entwicklern verwendet, um Daten umzuwandeln, welche aus dem Netz nachgeladen werden. Dadurch wird ein Man-In-The-Middle (MITM) ermöglicht, wodurch die betroffene Anwendung aus der Ferne angreifbar wird.

Wie üblich kann der Quellcode für die neue PHP-Version über die Download-Server des Projektes geladen werden. Alle Änderungen der neuen Version sind im Changelog protokolliert.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE