Das Update der Skriptsprache PHP auf 5.1.2 behebt diverse Fehler und schließt einige Sicherheitslücken seit der etwas überstürzt herausgebrachten Version 5.1.1 . Neben 85 Bugfixes bringt die neue Release aber auch einige Funktionserweiterungen. So ist die Unterstützung für die gebräuchlichen Hash-Algorithmen nun ebenso integriert wie der XMLWriter oder die Kompression des PNG-Bildformats. Oracle-Datenbanken können nun über eine neue OCI8-Erweiterung angesprochen werden. Eine vollständige Liste der Änderungen findet sich im Changelog .
Update: Unter anderem ist in der neuen Version auch eine Format-String-Schwachstelle in der mysqli-Erweiterung beseitigt, mit der sich Code einschleusen und ausführen lässt. Ursache des Problems ist die fehlerhafte Verarbeitung von Error-Meldungen. Laut Stefan Esser, Entdecker der Lücke, ist es allerdings nicht so einfach, manipulierte Fehlermeldungen zu übergeben. Ausgeschlossen ist es indes nicht, beispielsweise kann ein Angreifer einen MySQL-Server unter seine Kontrolle bringen und dessen Fehlermeldungen manipulieren.
Zudem berichtet Esser über eine Lücke in der Session-Extension, die sich für sogenannte HTTP-Response-Splitting-Attacken ausnutzen lässt. Dabei kann ein Angreifer eigene HTTP-Daten in die Antworten eines Servers einschleusen und etwa für Cross-Site-Scripting- und Phishing-Attacken ausnutzen.