Sicherheitsupdates für PHP 5.3 bis 5.5
Kommentare

In diesem Monat gibt es gleich drei PHP-Updates. Und dass PHP 5.3 in der Runde mit von der Partie ist, verheißt nichts Gutes: Zwei Sicherheitslücken im SSL-Modul (CVE-2013-4248* (nur in PHP 5.3) und

In diesem Monat gibt es gleich drei PHP-Updates. Und dass PHP 5.3 in der Runde mit von der Partie ist, verheißt nichts Gutes: Zwei Sicherheitslücken im SSL-Modul (CVE-2013-4248* (nur in PHP 5.3) und CVE-2013-6420) werden geschlossen. Erstere erlaubt Man-in-the-middle-Angriffe und bei letzterer handelt es sich um eine „memory corruption in openssl_x509_parse()„.

Für PHP 5.5.7 gibt es Bugfixes im Core, im CLI-Server, im OPCache und in readline. PHP 5.4.23 behebt Fehler im Core, JSON, MySQLi, mysqlnd und PDO. Links zu den einzelnen Berichten entnehmt Ihr dem Changelog. Linux-Pakete sollten demnächst in einschlägigen Quellen verteilt werden. Freilich lässt sich auch der Quellcode kompilieren. Für Windows liegen Binarys bereit.

Aufmacherbild: Wooden stamp with update word von Shutterstock / Urheberrecht: Tang Yan Song

* Sicherheits-Experte Carsten Eilers erklärte uns via E-Mail, dass es sich in der offiziellen PHP-Update-Meldung um ein Missverständnis handeln könnte:

Dass die in PHP CVE-2013-4073 gefixt haben halte ich für ein Gerücht. Das ist eine Schwachstelle in Ruby. Vermutlich haben die die CVE-ID verwechselt.

Für PHP hat die entsprechende Schwachstelle die ID CVE-2013-4248: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4248 5.3 ist da zwar nicht ausdrücklich erwähnt, aber bei „PHP before 5.4.18 and 5.5.x before 5.5.2“ wohl im ersten Teil mit enthalten.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -