Sicherheitsupdates für die Scriptsprache PHP

PHP-Support 20150807

PHP 5.5 läuft nur noch zwei Monate sicher…

Die drei PHP-Versionen 5.5, 5.6 und 7.0 sind durch zwei Sicherheitslücken verwundbar. Kriminelle Angreifer können diese Installationen aus der Ferne angreifen, Speicherfehler auslösen und dann eigenen Code auf die Systeme übertragen und ausführen.

Diese Schwachstellen wurden in den jetzt zum Download bereitstehenden Versionen PHP 5.5.35, 5.6.21 und 7.0.6 geschlossen. Die Windows-Binaries dazu finden Sie auf dieser Webseite.

Die Sicherheitslücken und die Exploits dazu

Die Sicherheitslücke mit der Kennung CVE-2016-3078 betrifft alle PHP-Versionen vor 7.0.6. Setzen die Angreifer an dieser Schwachstelle an, dann können sie über ein entsprechend präpariertes Zip-Archiv einen Speicherfehler hervorrufen und dann eigenen Code auf dem Rechner ausführen.

Die zweite Schwachstelle mit der Kennung CVE-2016-3074 sitzt in der Bilder-Bibliothek libgd 2.1.1, die seit PHP 4.3 bei der Default-Installation standardmäßig dabei ist. Um über diese Schwachstelle einen Speicherfehler auszulösen, müssen die Angreifer einem Opfer komprimierte gd2-Daten unterschieben. Anschließend können sie das System dann crashen oder darauf Schadcode ausführen.

Das Ende von PHP 5.5 ist nahe

Achtung: Bei dieser Gelegenheit möchte ich darauf hinweisen, daß der Support des Entwicklerteams für die PHP-Version 5.5 schon am 10. Juli 2015 geendet hat.

Sicherheitsupdates gibt es für PHP 5.5 nur noch bis zum 10. Juli 2016 – in 2 Monaten sollte man im eigenen Interesse auf die neueren Zweige 5.6 (Sicherheitsupdates bis 28. August 2017) oder noch besser PHP 7.0 (aktuellste Version) upgraden.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Kommentar, News, Programmierung, Seitenerstellung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.