In den PHP-Versionen 5.4.38, 5.5.22 und 5.6.6 wurde eine kritische Sicherheitslücke geschlossen, welche zum Einschleusen von Code verwendet werden kann. Dabei handelt es sich um einen Fehler (CVE-2015-0273) in der Funktion unserialize(). Dieser tritt bei der Verarbeitung von DateTime-Objekten auf. Es wird geraten auf die neuen Versionen zu aktualisieren, da alle PHP-Installationen betroffen sind, die nicht auf dem aktuellen Stand sind. Zudem existiert bereits ein Exploit im Internet.

Außerdem soll PHP besser gegen Angriffe auf die sogenannte Ghost-Lücke (CVE-2015-0235) geschützt worden sein. Dadurch soll verhindert werden, dass die Lücke auf einem verwundbaren System durch PHP ausgenutzt wird. Der Changelog der Version 5.6.6 zeigt, dass die Entwickler einige Bugs behoben haben.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE