PHP 5.1.2 erschienen

Sie befinden sich: Home > Webmaster News

Das Update der Skriptsprache PHP auf 5.1.2 behebt diverse Fehler und schließt einige Sicherheitslücken seit der etwas überstürzt herausgebrachten Version 5.1.1 . Neben 85 Bugfixes bringt die neue Release aber auch einige Funktionserweiterungen. So ist die Unterstützung für die gebräuchlichen Hash-Algorithmen nun ebenso integriert wie der XMLWriter oder die Kompression des PNG-Bildformats. Oracle-Datenbanken können nun über eine neue OCI8-Erweiterung angesprochen werden. Eine vollständige Liste der Änderungen findet sich im Changelog .

Update:
Unter anderem ist in der neuen Version auch eine Format-String-Schwachstelle in der mysqli-Erweiterung beseitigt, mit der sich Code einschleusen und ausführen lässt. Ursache des Problems ist die fehlerhafte Verarbeitung von Error-Meldungen. Laut Stefan Esser, Entdecker der Lücke, ist es allerdings nicht so einfach, manipulierte Fehlermeldungen zu übergeben. Ausgeschlossen ist es indes nicht, beispielsweise kann ein Angreifer einen MySQL-Server unter seine Kontrolle bringen und dessen Fehlermeldungen manipulieren.

Zudem berichtet Esser über eine Lücke in der Session-Extension, die sich für sogenannte HTTP-Response-Splitting-Attacken ausnutzen lässt. Dabei kann ein Angreifer eigene HTTP-Daten in die Antworten eines Servers einschleusen und etwa für Cross-Site-Scripting- und Phishing-Attacken ausnutzen.

Siehe dazu auch:

• PHP ext/mysqli Format String Vulnerability Fehlerreport von Hardened- PHP Project
• PHP ext/session HTTP Response Splitting Vulnerability Fehlerreport von Hardened- PHP Project

Eingetragen am 13.01.2006

Schreib ein Kommentar