Patches für zahlreiche Schwachstellen Kritische Sicherheitslücken in PHP CGI

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Fsas Technologies GmbH

SEPPmail - Deutschland GmbH

Die PHP-Entwickler stellen mit 8.3.12, 8.2.24 und 8.1.30 neue Versionen bereit, in denen zahlreiche Sicherheitslücken geschlossen werden. Admins sollten schnellstmöglich die neuen Versionen installieren.

Die Entwickler von PHP stellen Updates für verschiedene PHP-Versionen bereit. Die Ankündigungen sind knapp, weisen aber darauf hin, das es sich um Sicherheits-Updates handelt. Im ChangeLog sind die einzelnen Verbesserungen zu finden.

PHP 8.3.12, veröffentlicht am 26. September 2024, bringt eine Reihe relevanter Sicherheits- und Stabilitätsverbesserungen mit sich. Besonders hervorzuheben sind die Behebungen sicherheitsrelevanter Probleme, die durch Schwachstellen in der CGI-Schnittstelle sowie im FastCGI Process Manager (FPM) entstanden sind.

PHP-Lücke ermöglicht Angriffe auf Windows: Schnell patchen

PHP-Schwachstelle aus 2012 gefährdet aktuelle Windows-Systeme

Kritische Sicherheitslücke im PHP CGI

Eine der bedeutendsten Sicherheitslücken betrifft die CGI-Umgebung. Hier wurde die Schwachstelle CVE-2024-8926 (CVSS 8.1) behoben, die es Angreifern ermöglichte, die Parameter-Injektion durch einen Bypass von CVE-2024-4577 (CVSS 9.8) auszunutzen. Zusätzlich wurde die Sicherheitslücke CVE-2024-8927 (CVSS 7.5) geschlossen, die durch eine Kollision von Umgebungsvariablen die Sicherheitsfunktion cgi.force_redirect umgehen konnte. Diese Sicherheitslücken bedrohten besonders Webserver, die auf CGI setzen, da sie potenziell den Missbrauch von Umgebungsvariablen erlaubten, was zu nicht autorisiertem Zugriff führen konnte.

Auch FastCGI Process Manager ist betroffen

Darüber hinaus wurden im FPM mehrere Schwachstellen behoben, darunter CVE-2024-9026 (CVSS 3.3). Diese Sicherheitslücke ermöglichte die Manipulation von Log-Dateien durch Prozesse von Kind-Workern, was die Integrität der Log-Daten beeinträchtigen konnte. Auch im Core von PHP wurden wesentliche Schwachstellen korrigiert, die die Stabilität der Laufzeitumgebung beeinflussten. Ein falscher Positivbericht durch die MemorySanitizer-Analyse (MSan) bei der Ausführung des Zend-Max-Execution-Timers wurde beseitigt, was die Fehlersuche und Leistungsanalyse für Entwickler vereinfacht. Zudem wurde ein Softwarefehler behoben, der bei der Konfiguration von PHP auf Systemen mit deaktiviertem IPv6 zu Kompilierungsfehlern führte. Diese Korrekturen verbessern die Plattformstabilität, insbesondere auf weniger verbreiteten Architekturen wie ARM 32-Bit.

Im Bereich der Netzwerkkommunikation, speziell in der Curl-Erweiterung, wurde ein Fehler adressiert, der zu einem Überlauf im Timeout-Argument der Funktion curl_multi_select führte. Diese Art von Schwachstelle kann bei unsachgemäßer Behandlung die Stabilität von Anwendungen gefährden, die auf Curl zur Durchführung von HTTP-Anfragen setzen. Auch der MySQL Native Driver (MySQLnd) wurde verbessert. Ein schwerwiegendes Problem, das zur Heap-Korruption führte, wurde behoben.

Im Bereich der DOM-Erweiterung wurde ein Segmentierungsfehler behoben, der durch den Zugriff auf einen Null-Pointer verursacht wurde. Auch die Standardbibliotheken und Streams erfuhren Optimierungen. Ein Fehler in der Funktion php_stream_memory_get_buffer() führte dazu, dass der zurückgegebene Puffer nicht nullterminiert war, was Speicherproblemen bei der Verarbeitung von Datenströmen nach sich zog. Die Nullterminierung ist eine zentrale Anforderung an Strings in C-basierten Sprachen wie PHP und spielt eine entscheidende Rolle bei der Verhinderung von Speicherüberläufen.

OWASP Top 10

Web-Skriptsprachen wie PHP als Fehlerquelle

(ID:50194658)