PHP 5.4.43, 5.5.27 und 5.6.11 mit wichtigen Security-Fixes erschienen
Kommentare

Mit PHP 5.4.43 ist eine neue Version für den 5.4er-Release-Zweig erschienen. Sie soll vor allem mehrere kritische Schwachstellen beheben – zum Beispiel die Schwachstelle CVE-2015-3152, die mysqlnd anfällig für BACKRONYM macht.

Zusätzlich gab es mehrere weitere wichtige Security-Fixes. So wurde im PHP-Core mit dem Update auf PHP 5.4.43  zum einen ein Problem behoben, bei dem escapeshell*() sich nicht nach ! richtet; zum anderen gab es einen Fix für ein Problem, bei dem sich keine leeren additional_headers for mail() festlegen lassen.

Dazu kommt der eingangs bereits erwähnte Security-Fix für die Schwachstelle CVE-2015-3152, die mysqlnd anfällig für BACKRONYM macht – also dafür sorgt, dass mysqlnd auf eine nicht-SSL-Verbindung herabgestuft wird, auch wenn eine SSL-Verbindung angefragt wurde. Ebenso wurden zwei Probleme in Phar behoben, die etwa für einen Buffer-Overflow und Stack-Smashing-Fehler in phar_fix_filepath oder einer Schutzverletzung in Phar::convertToData bei ungültigen Dateien sorgten.

Alle Änderungen sind noch einmal übersichtlich im Changelog zu PHP 5.4.43 zusammengefasst. Die neue Version steht, wie gewohnt auf der Downloadseite für Windows oder alle andere Systeme zur Verfügung.

[Update]

PHP 5.6.11 und 5.5.27 stehen zur Verfügung

Neben PHP 5.4.43 gab es mit PHP 5.6.11 und 5.5.27 noch zwei weitere neue Versionen – und mit 5.527 auch das letzte reguläre Release für den 5.5er-Release-Zweig. Sie enthalten ebenfalls die bereits oben vorgestellten Security-Fixes für die gefunden Schwachstellen inklusive der Schwachstelle CVE-2015-3152. Dazu kommen jeweils noch eine ganze Reihe Bug-Fixes, die in den jeweiligen Changelogs übersichtlich zusammengefasst sind:

PHP 5.5.27

PHP 5.6.11

End of Life

Wie Julien Pauli bereits vor ein paar Tagen in den Internals bekannt gegeben hat, hat das letzte reguläre Release von PHP 5.5 allerdings noch andere Auswirkungen:

The PHP 5.5 branch is going to enter in security only, and in the same time, PHP 5.4 will finally die.

Spannend wird es sein, das End of Life im Vergleich zum Ableben von PHP 5.3 im August letzten Jahres zu beobachten. Damals ergaben verschiedene Auswertungen, dass Version 5.3 der Skriptsprache trotz des erreichten Lebensendes eine enorme Verbreitung genoss. Während Pascal Martin bei der Auswertung für über 12 Millionen Domains auf über 44 Prozent kam, nutzte Jordi Boggiano die Logfiles von packagist.org und stufte die Verbreitung von PHP 5.3 mit 28,6 Prozent auf Platz zwei ein – PHP 5.4 lag zu diesem Zeitpunkt in seiner Auswertung mit knapp 50 Prozent deutlich an der Spitze.

Es bleibt zu hoffen, dass sich diese Situation mittlerweile geändert hat. Zum einen ist PHP 5.6 schon einige Zeit verfügbar und erhält in regelmäßigen Abständen wichtige Updates, zum anderen ist vor Kurzem auch die erste Beta-Version von PHP 7 (mehr oder weniger) erschienen – damit steht das nächste Major Release ohnehin kurz bevor.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -