PHP 5.4.30 mit zahlreichen Security-Fixes
Kommentare
Das PHP-Core-Team hat die Verfügbarkeit von PHP 5.4.30 bekannt gegeben. Über 20 Bugs sollen darin gefixt worden sein, unter anderem auch zahlreiche...

Das PHP-Core-Team hat die Verfügbarkeit von PHP 5.4.30 bekannt gegeben. Über 20 Bugs sollen darin gefixt worden sein, unter anderem auch zahlreiche Sicherheitslücken. Außerdem wurde ein in PHP 5.4.29 eingeführter Bruch mit der Abwärtskompatibilität gefixt, der zwar in einigen wenigen Szenarien noch immer dafür sorgen wird, dass eine Applikation den Dienst verweigert – das aber in deutlich weniger Fällen als zuvor.

Security und BC in PHP 5.4.30

Bei besagtem Fix handelt es sich um das Bug-Ticket 67072, in dem ein Problem mit der Funktion unserialize() beschrieben wird.

Genauer gesagt handelt es sich dabei um folgendes: In PHP 5.4 ist es – obwohl als deprecated markiert – noch immer möglich, „O:“ für Klassen zu nutzen, die keine internen Klassen erweitern. Wird also ein String in der Art O:…:“ClassName“:… durch die Funktion unserialize() geschickt, bei der die benannte Klasse eine Custom-Unserializer-Funktion aufruft, versagt unserialize() seinen Dienst.

Das Problem wurde natürlich gefixt, was allerdings zu neuen Problemen führen kann. Da es sich dabei aber um einen kleinen Bruch mit der Abwärtskompatibilität handelt – der noch dazu eine Sicherheitslücke stopft – habe man eventuell auftretende Probleme in Kauf genommen. Für PHP 5.6, das aktuell als Release Candidate vorliegt, möchte man eine andere Lösung anbieten:

We are aware that some applications use O: format as a way to instantiate classes. This was never the intended usage of serializer, and ReflectionClass methods such as newInstance or newInstanceWithoutConstructor can be used for that. We’re working on providing more comprehensive solution for such use cases in PHP 5.6 and welcome the ideas in this area.

Weitere Hintergründe zu dieser Problematik findet man in der Update-Anleitung im Punkt 4a.

Noch mehr Sicherheit und noch mehr Fixes

Weitere Security-Fixes betreffen vor allem Fileinfo sowie zwei Fixes direkt im Core. Dort wurde beispielsweise das unsichere Handling von temporären Dateien im Konfigurationsskript gefixt sowie eine „Type Confusion Information Leak Vulnerability“ in phpinfo() ausgemerzt.

Darüber hinaus wurden die Bereiche CLI server, Date, Intl, Network, OpenSSL, SPL und SOAP mit Fixes beglückt. Eine vollständige Übersicht findet man im Changelog zu PHP 5.4.30.

PHP 5.5.12 steht ab sofort für Windows- und alle anderen Plattformen zum Download bereit.

Aufmacherbild: Patch in cross shape, isolated on white background von Shutterstock / Urheberrecht: Markus Mainka

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -