{"id":12108,"date":"2025-04-17T13:55:41","date_gmt":"2025-04-17T13:55:41","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/04\/17\/umfassende-sicherheitspruefung-des-php-interpreters-27-schwachstellen-identifiziert-vor-der-veroeffentlichung-von-php-8-4\/"},"modified":"2025-04-17T13:55:41","modified_gmt":"2025-04-17T13:55:41","slug":"umfassende-sicherheitspruefung-des-php-interpreters-27-schwachstellen-identifiziert-vor-der-veroeffentlichung-von-php-8-4","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=12108","title":{"rendered":"Umfassende Sicherheitspr\u00fcfung des PHP-Interpreters: 27 Schwachstellen identifiziert vor der Ver\u00f6ffentlichung von PHP 8.4"},"content":{"rendered":"<p>Der Open Source Technology Improvement Fund (OSTIF) hat im vergangenen Jahr in Zusammenarbeit mit Quarkslab und der PHP Foundation eine umfangreiche Sicherheitspr\u00fcfung des PHP-Interpreters (PHP-SRC) durchgef\u00fchrt. Dieser Pr\u00fcfungsprozess, unterst\u00fctzt durch den Sovereign Tech Fund, zielte darauf ab, die Sicherheit des weitverbreiteten Skriptsprachen-Interpreters zu st\u00e4rken, bevor die Ver\u00f6ffentlichung von PHP 8.4 im November 2024 erfolgt. Die Experten von Quarkslab f\u00fchrten \u00fcber einen Zeitraum von fast zwei Monaten hinweg eine detaillierte Analyse durch, die manuelle Code\u00fcberpr\u00fcfungen, dynamische Tests und kryptografische \u00dcberpr\u00fcfungen umfasste. Im Ergebnis dieses umfangreichen Audits wurden insgesamt 27 Schwachstellen entdeckt, darunter 17 sicherheitsrelevante Probleme. Zu diesen geh\u00f6rten zwei mit hoher und sechs mit mittlerer Schwere eingestufte Schwachstellen. Diese Schwachstellen umfassten beispielsweise eine Manipulation der PHP-Protokolle, die durch einen Fehler in der Daten-Parsing-Logik erm\u00f6glicht wurde (CVE-2024-9026), Probleme bei der Verarbeitung mehrteiliger Formular\u00fcbermittlungen, die zu fehlerhafter Dateninterpretation f\u00fchren konnten (CVE-2024-8925), ein Speicherproblem im PHP-Filter mit potenziellen Segmentierungsfehlern (CVE-2024-8928) und eine Schwachstelle im MySQL-Treiber, die Daten aus vorherigen Abfragen preisgeben konnte (CVE-2024-8929). Die PHP Foundation betont in einem Blogbeitrag, dass aufgrund begrenzter Budgetmittel nur die kritischsten Komponenten des Quellcodes untersucht wurden. Zu diesen geh\u00f6rten unter anderem der PHP-FPM (FastCGI Process Manager), der MySQL-Datenbanktreiber und weitere zentrale Bereiche. Trotz dieser Einschr\u00e4nkung zeigt das Ergebnis die systematische Herangehensweise an die Sicherheitsverbesserung von PHP. Die gefundenen Schwachstellen wurden von der PHP-Community z\u00fcgig adressiert und behoben. Nutzerinnen und Nutzer des PHP-Interpreters (PHP-SRC) sollten daher auf die neueste verf\u00fcgbare Version aktualisieren, um von den durchgef\u00fchrten Sicherheitsverbesserungen zu profitieren. F\u00fcr detaillierte Informationen stehen ein ausf\u00fchrlicher Bericht von Quarkslab SAS, der Blogbeitrag der PHP Foundation sowie eine Ank\u00fcndigung bei OSTIF zur Verf\u00fcgung.<\/p>\n<p>Schlagw\u00f6rter: PHP + OSTIF + Quarkslab<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Open Source Technology Improvement Fund (OSTIF) hat im vergangenen Jahr in Zusammenarbeit mit Quarkslab und der PHP Foundation eine umfangreiche Sicherheitspr\u00fcfung des PHP-Interpreters (PHP-SRC) durchgef\u00fchrt. Dieser Pr\u00fcfungsprozess, unterst\u00fctzt durch den Sovereign Tech Fund, zielte darauf ab, die Sicherheit des weitverbreiteten Skriptsprachen-Interpreters zu st\u00e4rken, bevor die Ver\u00f6ffentlichung von PHP 8.4&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":12107,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-12108","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12108","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12108"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12108\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/12107"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12108"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12108"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12108"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}