Sicherheits-Updates für PHP
Die neue Version 5.2.1 der beliebten Script-Sprache für Web-Server beseitigt eine Reihe von Sicherheitslücken, von denen sich einige dazu eignen, den Web-Server zu kompromittieren.
Während PHP bei vielen Website-Betreibern als mächtige Script-Sprache etwa zur Umsetzung Datenbank-basierter Web-Angebote wie Online-Shops, Blogs oder Foren sehr geschätzt wird, gilt sie bei Sicherheitsfachleuten als problematisch. Viele bekannte Sicherheitslücken werden lange Zeit ausgenutzt, bevor sie durch Updates geschlossen werden. Ein solches Update haben die PHP-Entwickler nun bereit gestellt.
Die Version 5.2.1 soll etliche Löcher stopfen, durch die Angreifer in Web-Server eindringen und Daten stehlen oder Web-Seiten verunstalten. So sollen zum Beispiel Suchmaschinen künftig davon abgebracht werden, die recht verräterische phpinfo()-Seite einer Website in ihren Index aufzunehmen.
Ferner sind Fehler beseitigt worden, die das Umgehen der als Schutzmaßnahmen gedachten Direktiven "open_basedir" und "safe_mode" ermöglichen. Diverse Möglichkeiten zur Provokation von Pufferüberläufen sollen ebenfalls ausgeräumt worden sein. Das Speichermanagement ist überarbeitet worden, so ist etwa das Speicherlimit von 128 MB nun standardmässig aktiviert.
Stabilität und Geschwindigkeit sollen an etlichen Stellen erhöht worden sein. Auch deshalb empfehlen die PHP-Entwickler einen baldigen Umstieg auf die neue Version. PHP 4 soll ebenfalls in den Genuss der Verbesserungen kommen. Mit PHP 4.4.5 soll in Kürze ein entsprechendes Update veröffentlicht werden.
Stefan Esser, Gründer und inzwischen Ex-Mitglied des PHP-Sicherheits-Teams, kritisiert die Bereitstellungsmeldung der PHP-Entwickler scharf. Sie sei viel zu vage und lückenhaft, verharmlose die Bedeutung der Sicherheitslücken und würdige die Mitwirkung der Entdecker von Sicherheitslücken nicht. Esser will im März einen "Monat der PHP Bugs" durchführen.
