PHP 5.4.3 und 5.3.13 beheben CGI-Sicherheitslücke
Stefan Keller, den 10. Mai 2012
Seit kurzem steht ein Update für das Update von PHP zur Verfügung. Die Versionen 5.4.3 und 5.3.13 beheben die Sicherheitslücke, die schon seit langer Zeit im Quellcode zu finden ist und vergangene Woche durch ein Versehen veröffentlicht wurde. Die neuen Ausgaben, die darauf folgten, 5.4.2 und 5.3.12, behoben die Lücke nur unzureichend, wie die Entwickler später feststellten. Stattdessen wurden betroffene Administratoren und/oder Anwender dazu angehalten, eine zusätzliche Rewrite-Regel in die Webserver-Konfiguration aufzunehmen.
Jetzt wurde mit PHP 5.4.3 und 5.3.13 der Fehler behoben. Im Falle von PHP 5.4 ist zudem eine weitere Lücke geschlossen worden, die in der Funktion apache_request_headers() zu finden war. PHP 5.3 wies diese Schwachstelle nicht auf.
CGI
Wer PHP als Apache-Modul verwendet, ist nicht betroffen gewesen, CGI-Varianten aber durchaus. Deshalb sollten Administratoren, die PHP über CGI laufen lassen, umgehend auf eine der neuen Versionen umsteigen. Debian-Administratoren können hierfür beispielsweise den Paket-Server von dotdeb.org verwenden, wo die Pakete seit gestern zu finden sind. Wer die Pakete seiner Linux-Distribution verwendet, kann darauf hoffen, dass die Lücke auch in älteren Versionen geschlossen wird. Dies wäre dann aber die Aufgabe der Entwickler der Linux-Distribution.
Im Falle von Debian 6.0 „Squeeze“ wurde heute ein Update veröffentlicht. Die PHP-Version bleibt zwar 5.3.3, aber die Sicherheitlücke wurde behoben. Daneben gab es noch ein paar andere Aktualisierungen – „wenn man ohnehin gerade dabei ist“, quasi.
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
The following packages will be upgraded:
file libapache2-mod-php5 libmagic1 linux-base linux-image-2.6.32-5-amd64 php5
php5-cgi php5-cli php5-common php5-curl php5-gd php5-imap php5-mcrypt php5-mysql
15 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 43.5 MB of archives.
After this operation, 176 kB of additional disk space will be used.
Do you want to continue [Y/n]?