In PHP 5.3.9 wurde eine kritische Sicherheitslücke entdeckt (CVE-2012-0830), die ironischerweise durch den Fix für eine vorherige Sicherheitslücke eingeführt wurde.
Das Problem
PHP 5.3.9 hatte einen Patch gegen Hash-Collision-Angriffe (CVE-2011-4885) erhalten. Dieser Patch enthielt jedoch einen Fehler, der eine neue, noch gravierendere Lücke eröffnete: Remote Code Execution.
Betroffene Versionen
Ausschließlich PHP 5.3.9 ist betroffen. Ältere Versionen (5.3.8 und früher) sowie neuere Versionen (5.3.10 und höher) sind nicht verwundbar.
Lösung
Aktualisieren Sie umgehend auf PHP 5.3.10 oder höher. Das Update behebt die Remote-Code-Execution-Lücke und behält den Hash-Collision-Schutz bei.
Managed-Server-Kunden
Alle Managed Server mit PHP 5.3.9 wurden bereits auf die gepatchte Version aktualisiert. Kunden, die noch auf PHP 5.3.8 oder älter waren, sind von dieser spezifischen Lücke nicht betroffen.
Bei Fragen wenden Sie sich an info@ingate.de.
