PHP Exploit Information und Hot Fix

Eine kritische Schwachstelle in der PHP Engine wurde am 3. Januar 2011 festgestellt. Es handelt sich dabei um einen schwerwiegenden Fall, da die meisten PHP Applikationen auf betroffenen Systemen möglicherweise anfällig für eine ganz einfache Denial-of-Serve Attacke werden können. Zend hat ein Sicherheits-Hot Fix zu dieser Schwachstelle veröffentlicht (s. unten).

Aufgrund der Art, wie die PHP Laufzeit die interne Konvertierung von Gleitkommazahlen handled, ist es für einen Angreifer von außen möglich, eine Webanwendung ganz einfach durch Hinzufügen eines spezifischen Parameters zu einem Query String in ihrem Web Browser. (Klicken Sie hier für weitere Informationen.)

Diese Schwachstelle betrifft alle PHP Versionen einschließlich PHP 4.x und 5.x, auf allen Intel-basierten 32-bit PHP Builds.

Plattform Gefährdet
Windows JA
Linux (mit 32-bit PHP Build) JA
Linux (mit 64-bit PHP Build) NEIN
Mac OS NEIN
IBM i NEIN

Zend Server und Zend Server CE User sollten sofort das Sicherheits-Hot Fix anwenden.


Hot Fixes für Zend Core und Zend Server CE Tarball Installer werden zur Zeit fertig gestellt und stehen in Kürze zur Verfügung.

PHP User, die Zend Server nicht einsetzen?

Bitte schauen Sie auf PHP.net für weitere Informationen oder wählen Sie den kostenlosen Zend Server CE mit dem oben genannten Hot Fix.