Integer Überlauf in PHP 5 sorgt für Sicherheitslücke

Die beiden Sicherheitslücken werden in einem Bericht von Secunia gemeldet. Betroffen sind alle PHP 5 Varianten mit Ausnahme der aktuellen Version 5.2.3, in der die Lücken bereits geschlossen wurden. In der Funktion „chunk_split()“ tritt durch einen Integer Überlauf unter Umständen ein Heap-basierter Pufferüberlauf ein, mit dessen Hilfe Angreifer eigenen Code ins System einspeisen können. Die zweite Schwachstelle existiert in der Funktion „realpath()“ und ermöglicht die per „open_basedir“ definierten Einschränkungen zu umgehen. Ein Update auf die Version 5.2.3 wird dringend empfohlen. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.