Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

PHP-Updates: 8.1.31, 8.2.26, 8.3.14 und 8.4.1 stopfen Sicherheitslecks

Die PHP-Entwickler haben aktualisierte Pakete veröffentlicht. Während PHP 8.4.1 "zahlreiche Verbesserungen und neue Funktionen" neben geschlossenen Sicherheitslücken liefert, handelt es sich bei PHP 8.1.31, 8.2.26 und 8.3.14 um reine Sicherheitsupdates, die IT-Verantwortliche zügig installieren sollten.

Anzeige

In den Versionsankündigungen zu den PHP-Aktualisierungen halten sich die Programmierer recht bedeckt mit Details. Für 8.4.1 erwähnen sie keine Sicherheitsaktualisierungen, die drei anderen Fassungen hingegen haben ausschließlich "Dies ist ein Sicherheits-Release. Alle PHP 8.[1|2|3].x-Nutzer sollen ermutigt werden, auf diese Version zu aktualisieren." als Änderungseintrag.

Die Aktualisierungen behandeln unterschiedliche Schwachstellen, einige betreffen jedoch alle Fassungen. So kann etwa als eine der hervorstechenden Schwachstellen auf 32-Bit-Systemen die ldap_escape()-Funktion bei der Übernahme ungefilterter langer Strings einen Integer-Überlauf provozieren, der in Schreibzugriffen außerhalb vorgesehener Grenzen mündet – und damit offenbar das Ausführen von eingeschleustem Schadcode ermöglicht (CVE-2024-8932, CVSS 9.8, Risiko "kritisch").

Interessierte finden in den einzelnen Changelogs Details zu den weiteren Änderungen und Sicherheitsfixes der aktualisierten PHP-Pakete:

Aktualisierte Pakete stehen auf der PHP-Download-Seite zum Herunterladen bereit. Neben den Quellcode-Paketen finden sich dort fertig compilierte Versionen für Windows. Zudem stehen Installationsanweisungen für Linux und macOS dort bereit. Linux-Distributionen werden in der Regel jedoch über die Softwareverwaltung des Systems mit den aktualisierten Fassungen ausgestattet. Admins unter Linux sollten sie daher einmal aufrufen und Aktualisierungen suchen und installieren lassen. IT-Verantwortliche sollten die Updates zügig installieren, da einige der Lücken ein kritisches Risiko darstellen.

Anzeige

Bereits Ende September hatten die PHP-Entwickler Sicherheitsupdates in den 8.1.x-, 8.2.y- und 8.3.z-Versionszweigen veröffentlicht. Auch damals galten einige der Lecks als kritisches Risiko, was ein zeitnahes Update wichtig machte.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Sicherheitsrisiko: D-Link rät zur Entsorgung einig...
heise-Angebot: iX-Workshop: AWS-Sicherheit - Angri...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image