Neues aus der IT-Welt

Admins, die sich schon auf den Weg ins Wochenende machen wollten, sollten noch mal rasch an den Verwaltungs-PC: die PHP-Entwickler haben die Versionen 8.3.12 und 8.2.24 veröffentlicht. Diese schließen teils als kritisches Risiko eingestufte Sicherheitslücken.

Die Versionsankündigungen für PHP 8.3.12 und PHP 8.2.24 sind äußerst knapp. "Dies ist ein Sicherheits-Release. Allen PHP 8.2 & 8.3 Nutzern sei empfohlen, auf diese Version zu aktualisieren" lauten die Ankündigungen, deren einziger Unterschied die Versionsnummer ist.

Ähnlich sieht es bei den Changelogs zu Version 8.3.12 und 8.2.24 aus. Sie sind nahezu identisch. Ausnahme ist ein zusätzlich korrigierter Fehler in PHP 8.3.12, der in 8.2.24 offenbar nicht vorhanden ist. Dabei handelt es sich laut Kurzbeschreibung um einen Signed-Integer-Überlauf in ext/dom/nodelist.c. Wesentlich schlimmer ist jedoch ein Wiedergänger einer alten Lücke in PHP-Versionen vor den nun neu veröffentlichten. Es geht erneut um die bekannte Sicherheitslücke CVE-2024-4577 – der bisherige Patch reicht nicht aus, die damit getroffenen Gegenmaßnahmen lassen sich umgehen. Details fehlen noch, der CVE-Eintrag CVE-2024-8926 ist zum Meldungszeitpunkt noch auf Status "reserved". Tenable verrät jedoch, daß der CVSS-Wert 9.1 beträgt, die Lücke mithin "kritisch" ist.

IT-Verantwortliche sollten die aktualisierten PHP-Versionen zügig installieren. Die Vorgänger-Schwachstelle CVE-2024-4577 wurde bereits im Juni in freier Wildbahn angegriffen. Die CISA hat davor mit der Aufnahme des Sicherheitslecks in den Known-Exploited-Vulnerabitlites-Katalog gewarnt. Etwas Salz streut in die Wunde, daß auch CVE-2024-4577 lediglich eine Variante eines 12 Jahre älteren Fehlers (CVE-2012-1823) war, den die Programmierer auch da nicht vollständig korrigiert haben.

Aktualisierte Quellcode-Pakete gibt es auf der PHP-Download-Seite. Für Windows gibt es neben den Quellen auf einer eigenen Download-Seite zudem fertig installierbare Binärdateien. Linux-Nutzer müßen die Softwareverwaltung der eingesetzten Distribution anwerfen, um damit nach fehlerkorrigierten PHP-Paketen zu suchen und diese zu installieren.