Die PHP-Entwickler haben aktualisierte Pakete veröffentlicht. Während PHP 8.4.1 "zahlreiche Verbesserungen und neue Funktionen" neben geschlossenen Sicherheitslücken liefert, handelt es sich bei PHP 8.1.31, 8.2.26 und 8.3.14 um reine Sicherheitsupdates, die IT-Verantwortliche zügig installieren sollten.
Anzeige
In den Versionsankündigungen zu den PHP-Aktualisierungen halten sich die Programmierer recht bedeckt mit Details. Für 8.4.1 erwähnen sie keine Sicherheitsaktualisierungen, die drei anderen Fassungen hingegen haben ausschließlich "Dies ist ein Sicherheits-Release. Alle PHP 8.[1|2|3].x-Nutzer sollen ermutigt werden, auf diese Version zu aktualisieren." als Änderungseintrag.
Die Aktualisierungen behandeln unterschiedliche Schwachstellen, einige betreffen jedoch alle Fassungen. So kann etwa als eine der hervorstechenden Schwachstellen auf 32-Bit-Systemen die ldap_escape()-Funktion bei der Übernahme ungefilterter langer Strings einen Integer-Überlauf provozieren, der in Schreibzugriffen außerhalb vorgesehener Grenzen mündet – und damit offenbar das Ausführen von eingeschleustem Schadcode ermöglicht (CVE-2024-8932, CVSS 9.8, Risiko "kritisch").
Interessierte finden in den einzelnen Changelogs Details zu den weiteren Änderungen und Sicherheitsfixes der aktualisierten PHP-Pakete:
Aktualisierte Pakete stehen auf der PHP-Download-Seite zum Herunterladen bereit. Neben den Quellcode-Paketen finden sich dort fertig compilierte Versionen für Windows. Zudem stehen Installationsanweisungen für Linux und macOS dort bereit. Linux-Distributionen werden in der Regel jedoch über die Softwareverwaltung des Systems mit den aktualisierten Fassungen ausgestattet. Admins unter Linux sollten sie daher einmal aufrufen und Aktualisierungen suchen und installieren lassen. IT-Verantwortliche sollten die Updates zügig installieren, da einige der Lücken ein kritisches Risiko darstellen.
Anzeige
Bereits Ende September hatten die PHP-Entwickler Sicherheitsupdates in den 8.1.x-, 8.2.y- und 8.3.z-Versionszweigen veröffentlicht. Auch damals galten einige der Lecks als kritisches Risiko, was ein zeitnahes Update wichtig machte.
(
Kommentare