PHP Sicherheitsupdate: kritische Lücken in Version 8.3.12 & 8.2.24
Samstag, 28.09.2024 08:33 Uhr | Kategorie: Linux
Beitragsbild: ChatGPT
Die PHP-Entwickler haben Sicherheitsupdates für PHP 8.3.12 und 8.2.24 veröffentlicht, die mehrere kritische Sicherheitslücken beheben. Es wird dringend empfohlen, das Update zeitnah einzuspielen.
Was genau wurde gefixt?
U.a. wurden folgende Schwachstellen behoben:
- DOM-Modul: Behebung eines Segmentation-Faults (Bug GH-15551) und eines Integer-Überlaufs (Bug GH-15654)
- FPM (FastCGI Process Manager): Sicherheitslücke, bei der Log-Dateien von Kindprozessen manipuliert werden konnten (CVE-2024-9026)
- SAPI: Korrektur eines Fehlers bei der Verarbeitung von Multipart-Form-Daten, der zu fehlerhaften Uploads führen konnte
- MySQLnd: Behebung eines Heap-Korruptionsfehlers bei der Abfrage von Datenbanken (Bug GH-15432)
Siehe dazu auch PHP 8.3.12 Changelog und PHP 8.2.24 Changelog.
Dringende Update-Empfehlung
Um die durch die genannten Schwachstellen entstehenden Sicherheitsrisiken zu minimieren, wird allen Nutzern dringend empfohlen, auf die neueste(n) Version(en) zu updaten. Besonders Betreiber von WordPress, CMS u.ä. Webanwendungen, die stark von PHP abhängen, sollten dies sofort umsetzen, da ungepatchte Systeme Angreifern potenziell Zugang zu sensiblen Informationen bieten.
Auf Linux-Servern wie z.B. Debian, Ubuntu, etc per:
sudo apt update
sudo apt upgrade php
Für Windows-Nutzer, die PHP manuell installiert haben, läuft das Ganze etwas anders: Die neueste PHP-Version muss dazu von der offiziellen Webseite runtergeladen werden, die alten Dateien wewrden dann durch die neuen ersetzt.
Für eine einfache und automatisierte Lösung kann Docker verwendet werden, z.B. mit folgendem Befehl:
docker pull php:8.2-fpm
docker-compose up -d
Wer bei einem Hoster oder Webspaceanbieter wie Ionos oder Strato ist, muss darauf warten, dass das Update auf PHP 8.3.12, bzw. PHP 8.2.24 serverseitig vom Anbieter eingespielt wird, da diese Art von Hosting in der Regel keine direkten PHP-Updates durch den Nutzer erlaubt.