In den aktuellen php Versionen sind Schwachstellen enthalten die Angreifer zum Angriff gegen die Daten der Benutzer ausnutzen könnten. Auf der Full Disclosure Mailingliste gibt es dazu Erklärungen des Sicherheitsspezialisten Maksymilian Arciemowicz.
Betroffen sind Funktionen wie copy(), tempname() oder auch phpinfo(). Die Lecks lassen sich für XSS Attacken einsetzen um zum Beispiel JS code einzuschleussen. Bei den Filefunktionen führen die Schwachstellen dazu, das ein Einbrecher aus den open_basedir Bereich ausbrechen kann und somit Zugriff auf eigentlich geschütze Verzeichnisse erhält. Durch einen Referenzierungsfehler ist es sogar möglich den Apache abstürzen zu lassen.
Die php Entwickler haben im CVS bereits die Version RC3 bereitgestellt die diese Bugs behebt. Somit sollte es aber auch nur noch wenige Tage dauern, bis die endgültigen Versionen von php5.1.3 und 4.4.3 veröffentlich werden.