PHP wurde in einer neuen Version veröffentlicht, in der die Entwickler mindestens eine Sicherheitslücke geschlossen haben sollen. Das Fehlschlagen einer Filterfunktion FILTER_VALIDATE_FLOAT mit min- und max-Begrenzung könnte demnach zu einer Use-after-free-Lücke (CVE-2021-21708, CVSS 8.2, Risiko hoch) führen.

Die Lücke könnte Abstürze hervorrufen und durch Überschreiben von Speicherbereichen zudem zur Ausführung eingeschleusten Schadcodes missbraucht werden. Betroffen sind die PHP-Versionen 7.4.x vor 7.4.28, 8.0.x vor 8.0.16 sowie 8.1.x vor 8.1.3. Während mit PHP 7.4.28 ausschließlich die Sicherheitslücke geschlossen wird, beheben die Versionen 8.0.16 und 8.1.3 noch weitere, nicht sicherheitsrelevante Fehler.

Aktualisierte Windows-Binärdateien und Quellcode-Pakete können auf der PHP-Website heruntergeladen werden. In Kürze dürften auch Linux-Distributionen aktualisierte Pakete verteilen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE