FEHLER!

Umfassende Sicherheitsprüfung des PHP-Interpreters: 27 Schwachstellen identifiziert vor der Veröffentlichung von PHP 8.4

Der Open Source Technology Improvement Fund (OSTIF) hat im vergangenen Jahr in Zusammenarbeit mit Quarkslab und der PHP Foundation eine umfangreiche Sicherheitsprüfung des PHP-Interpreters (PHP-SRC) durchgeführt. Dieser Prüfungsprozess, unterstützt durch den Sovereign Tech Fund, zielte darauf ab, die Sicherheit des weitverbreiteten Skriptsprachen-Interpreters zu stärken, bevor die Veröffentlichung von PHP 8.4 im November 2024 erfolgt. Die Experten von Quarkslab führten über einen Zeitraum von fast zwei Monaten hinweg eine detaillierte Analyse durch, die manuelle Codeüberprüfungen, dynamische Tests und kryptografische Überprüfungen umfasste. Im Ergebnis dieses umfangreichen Audits wurden insgesamt 27 Schwachstellen entdeckt, darunter 17 sicherheitsrelevante Probleme. Zu diesen gehörten zwei mit hoher und sechs mit mittlerer Schwere eingestufte Schwachstellen. Diese Schwachstellen umfassten beispielsweise eine Manipulation der PHP-Protokolle, die durch einen Fehler in der Daten-Parsing-Logik ermöglicht wurde (CVE-2024-9026), Probleme bei der Verarbeitung mehrteiliger Formularübermittlungen, die zu fehlerhafter Dateninterpretation führen konnten (CVE-2024-8925), ein Speicherproblem im PHP-Filter mit potenziellen Segmentierungsfehlern (CVE-2024-8928) und eine Schwachstelle im MySQL-Treiber, die Daten aus vorherigen Abfragen preisgeben konnte (CVE-2024-8929). Die PHP Foundation betont in einem Blogbeitrag, dass aufgrund begrenzter Budgetmittel nur die kritischsten Komponenten des Quellcodes untersucht wurden. Zu diesen gehörten unter anderem der PHP-FPM (FastCGI Process Manager), der MySQL-Datenbanktreiber und weitere zentrale Bereiche. Trotz dieser Einschränkung zeigt das Ergebnis die systematische Herangehensweise an die Sicherheitsverbesserung von PHP. Die gefundenen Schwachstellen wurden von der PHP-Community zügig adressiert und behoben. Nutzerinnen und Nutzer des PHP-Interpreters (PHP-SRC) sollten daher auf die neueste verfügbare Version aktualisieren, um von den durchgeführten Sicherheitsverbesserungen zu profitieren. Für detaillierte Informationen stehen ein ausführlicher Bericht von Quarkslab SAS, der Blogbeitrag der PHP Foundation sowie eine Ankündigung bei OSTIF zur Verfügung.

Schlagwörter: PHP + OSTIF + Quarkslab

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 17. April 2025