PHP 5.3.9 schließt DoS-Lücken

Die Entwickler von PHP 5.3.9 haben einige Sicherheitslücken geschlossen und zusätzlich einen Schutz vor DoS-Angriffen (Denial of Service) integriert.

In früheren PHP-Versionen befindet sich auf 32-Bit-Plattformen eine Schwachstelle in der Funktion exif_process_IFD_TAG() in der PHP-Erweiterung EXIF, die einen Ganzzahlüberlauf ermöglicht. Über die Umwandlung ungültiger EXIF-Header (Exchangeable image file format) können Unbefugte manipulierte JPEG-Bilddateien einschleusen und damit einen DoS-Angriff starten.

Außerdem haben die Entwickler mit der neu implementierten Direktive max_input_vars dafür gesorgt, dass Hash-Tabellen nach dem Zufallsprinzip zugeordnet werden. Damit können künftig Hashkollisionen und damit DoS-Angriffe verhindern werden.

Die Entwickler haben in PHP 5.3.9 insgesamt 90, teilweise sicherheitsrelevante Fehler etwa im FastCGI Process Manager (PHP-FPM SAPI), im Modul Datetime und im Core-Modul beseitigt. Im PHP 5 Changelog sind sämtliche Neuerungen aufgelistet. Der Sourcecode und Binärdateien für Windows stehen auf den Servern des Projekts zum Download bereit. Die Binärdateien werden wohl erst in den nächsten Tagen von den Paketbetreuern der jeweiligen Linux-Distribution bereitgestellt. Wer möchte, kann aber die Pakete auch aus anderen Quellen beziehen. Für Debian 6.0 "Squeeze" oder Debian 5.0 "Lenny" können Sie die Dateien beispielsweise über http://www.dotdeb.org herunterladen. Wie Sie das alternative Repository einbinden, lesen Sie auf der Seite Instructions.