Kritische Lecks in PHP geschlossen

Das ‘PHP Development Team’ hat Updates für den Code der Skriptsprache ‘PHP 4’ und ‘PHP 5’ veröffentlicht.

Das ‘PHP Development Team’ hat Updates für den Code der Skriptsprache ‘PHP 4’ und ‘PHP 5’ veröffentlicht. PHP (Personal Home Page Tools) wird zur Erstellung dynamischer Webseiten verwendet. Die Skriptsprache ist unter der ‘PHP License’ erhältlich, die eine freie Veränderung der Quelltexte erlaubt.

Mit den Updates wurden jetzt Schwachstellen geschlossen, die eine Denial-of-Service-Attacke auf PHP-Sites ermöglichten. So erzeugten die Funktionen ‘php_handle_iff()’ und ‘php_handle_jpeg()’ bei der Verarbeitung manipulierter Bilder Endlosschleifen. Auf die Lecks hatte das Sicherheitsunternehmen iDefense aufmerksam gemacht. Die neuen PHP-Versionen – 4.3.11 und 5.0.4 – können von der Site des PHP-Teams heruntergeladen werden.

Zuletzt hatte das Team im Dezember 2004 sieben Lücken in PHP geschlossen und die PHP-Versionen 4.3.10 und 5.0.3 veröffentlicht. Die gefährlichste Schwachstelle betraf damals eine Funktion, mit der Daten für die Speicherung komprimiert wurden. Über das Leck konnten Hacker die Kontrolle über einen Webserver übernehmen.