Neue PHP-Versionen schließen häufig auch Sicherheitslücken, die Angreifern ansonsten unter Umständen das Einschleusen von Schadcode erlauben könnten.
Die PHP-Entwickler haben soeben neue Versionen der beliebten Programmiersprache veröffentlicht, die mindestens eine schwere Sicherheitslücke schließen.
Das Problem an sich
Wenn eine Filterfunktion FILTER_VALIDATE_FLOAT mit min- und max-Begrenzung genutzt wird und der Filter – angedeutet in den Changelogs der PHP-Maintainer etwa bei Integer-Werten – fehlschlägt, könnte dadurch eine Use-after-free-Lücke aufgehen.
Das kann dann zu einem Absturz führen oder sogar zum Überschreiben von Speicherbereichen und in der Folge zur Ausführung untergeschobenen Schadcodes missbraucht werden (CVE-2021-21708, CVSS 8.2, Risiko hoch).
Die betroffenen Versionen
Das Problem betrifft PHP in den Versionen 7.4.x vor 7.4.28, 8.0.x vor 8.0.16 sowie 8.1.x vor 8.1.3. PHP 7.4.28 schließt ausschließlich die Sicherheitslücke. Version 8.0.16 (Changelog) und 8.1.3 (Changelog) beheben auch weitere, aber nicht sicherheitsrelevante Fehler, darunter auch Speicherlecks.
Auf der PHP-Website finden Sie die Downloads etwa von aktualisierten Windows-Binärdateien, aber auch neue Quellcode-Pakete. Linux-Distributionen dürften jetzt auch bald aktualisierte Pakete verteilen. Administratoren, die PHP nutzen, sollten das Update möglicht umgehend einplanen und durchführen.