Monat der PHP Bugs eröffnet
Bereits kurz nach Monatsbeginn umfasst die Liste der veröffentlichten Schwachstellen in PHP bereits elf Einträge, darunter auch solche in PHP 4 und in der häufig eingesetzten Zend-Plattform.
Den März haben Stefan Esser und das Projekt Hardened-PHP zum "Monat der PHP Bugs" erklärt. Sie veröffentlichen täglich Sicherheitslücken in PHP, konzentrieren sich dabei auf den Kern und befassen sich nicht mit einzelnen PHP-Anwendungen wie Content-Management-Systeme (CMS) oder Foren-Lösungen. Esser und seine Mitstreiter wollen damit dazu beitragen, die Sicherheit von PHP zu verbessern.
Sie beschränken sich dabei nicht auf eine Schwachstelle pro Tag - die Bug-Liste enthält vielmehr bereits elf Einträge. Zwei davon betreffen die bei vielen Providern eingesetzte Zend-Plattform und ermöglichen Angreifern die Ausweitung ihrer Berechtigungen. Die bereits verfügbare Zend-Version 3 ist davon nicht betroffen.
Auch Fehler in PHP 4 werden aufgezeigt. Mit der PHP-Version 4.4.6 sind gerade erst eine Reihe von Sicherheits-Updates bereit gestellt worden. Diese behandeln auch einige der Schwachstellen, die Esser veröffentlicht hat, teilweise handelt es sich jedoch eher um Verschlimmbesserungen. So kommt es, dass die Funktion phpinfo() auch in PHP 4.4.6 noch anfällig für Cross-Site-Scripting ist.
Zu den veröffentlichten Lücken stellen die Bug-Jäger auch jeweils Exploit-Code oder ein Demo-Seite bereit, um das Problem zu veranschaulichen. Ungeachtet noch enthaltener Fehler sollten Hosting-Provider und Server-Betreiber mit der Aktualisierung ihrer PHP-Installationen nicht bis zum nächsten PHP-Update warten sondern bald auf die im Februar erschienenen PHP-Versionen 5.2.1 und 4.4.6 umstellen.
