php weiter löchrig

Wieder wurden Sicherheitsprobleme in den aktuellen php Versionen öffentlich gemacht. Diesesmal erwischt es die Funktionen ini_restore(). Effekt: Es lassen sich Einstellungen aus der originalen php.ini wiederherstellen, die einen User eigentlich verboten sein sollten. Besonders anfällig dafür ist zum Beispiel die Option open_basedir. So wird bei SharedHosting damit der Zugriff von …

php 4.4.4 und 5.1.5 released

Und weiter gehts mit den Bugfixes für php. Diesmal wieder zeitgleich wurden die Versionen 4.4.4 und 5.1.5 released. Die wichtigsten Dinge sind Sicherheitsrelevant und aus diesem Grund ist ein dringendes Update der alten Versionen schnellstens empfohlen. – Added missing safe_mode/open_basedir checks inside the error_log(),  file_exists(), imap_open() and imap_reopen() functions. – …

php 4.4.3 released

Heute wurde das neue php Release der Version 4 freigegeben. Damit erhöht sich die Versionsnummer auf 4.4.3. Das Release beinhaltet einige Bugfixes und löst auch einige Sicherheitsprobleme. Allen php 4.x Benutzern wird dringend empfohlen auf die neuste Version aufzusteigen. Die Sicherheitsrelevanten Änderungen: Es werden bestimmte Zeichen in Session namen verboten. …

Release Candidate von php 5.2

Der erste Releasekandidat von php 5.2 liegt nun vor. Mit der Version 5.2 halten 3 neue Erweiterungen Einzug JSON: Wandelt Strings in "Java Script Object Notation" um. Filter: Hilft beim überprüfen von Benutzereingaben ZIP: vereinfacht den Umgang mit ZIP Archiven. Hinzu kommen angebliche schnellere Verarbeitung, effizienteres Speichermanagment und ca. 80 …

php 5.1.3 freigegeben

Nachdem sich in den letzten Tagen die Bug Meldungen zu php gehäuft haben ist nun die aktuelle Version 5.1.3. freigegeben. Die Sicherheits Fixes im einzelnen: Disallow certain characters in session names. Fixed a buffer overflow inside the wordwrap() function. Prevent jumps to parent directory via the 2nd parameter of the …

Noch mehr Lücken in PHP

Weitere fatale Sicherheitslücken in php sind aufgetaucht. Infigo, ein Sicherheitsdienstleister, hat ein weiteres Dokument veröffentlicht mit einigen schwerwiegenden Lücken in php. Diesesmal ist es einem Angreifer damit möglich: eine Denial of Service Attacke zu starten beliebigen Code auszuführen Betroffene Funktionen sind: wordwrap(), array_fill(), und substr_compare(). Diesesmal ungewöhnlich: Infigo hat die …

Kostenloses AJAX Framework

Nun ist es raus. Lumen Software gibt absofort seinen Ajax Framework in der Version 6 kostenlos ab.Lumenation 6.0 basiert auf der LAMP Installation von Linux/Apache/mySQL/PHP und bringt hierfür sogar einen Installer fertig mit. Es verspricht ASP oder Java Entwicklern damit schnell Applikationen erstellen zu können. Im Umfang ist bereits ein …

Schwachstellen in php

In den aktuellen php Versionen sind Schwachstellen enthalten die Angreifer zum Angriff gegen die Daten der Benutzer ausnutzen könnten.  Auf der Full Disclosure Mailingliste gibt es dazu Erklärungen des Sicherheitsspezialisten Maksymilian Arciemowicz. Betroffen sind Funktionen wie copy(), tempname() oder auch phpinfo(). Die Lecks lassen sich für XSS Attacken einsetzen um …

php 5.1.2

Soeben wurde das neuste PHP Release der Version 5.1.2 freigegeben. Ich bin gespannt ob es diesmal die IMAP Probleme der 5.1.0 und 5.1.1 behebt. Diese Versionen konnten viele User bisher nicht einsetzen da es verschiedene Probleme beim kompilieren mit der IMAP Unterstützung gab.Zusätzlich gibt es zum Release diese  Informationen: * …

php 5.1.1 Release

Nur 4 Tage nach dem Release von php 5.1.0 wurde heute php 5.1.1 released. Offensichtlich hatten sich einige schwerwiegende Fehler eingeschlichen die die Version 5.1.0 richtig unbrauchbar gemacht haben. Mir selbst war es garnicht möglich die Version 5.1.0 auf dem Server zu kompilieren, das Build versagte seinen Dienst ohne erklärbare …

PHP 5.0.4 und 4.3.11

Die neuen PHP Versionen wurden released. In den neuen Varianten wurden über 70 unkritische Fehler behoben, sowie einige Sicherheitsprobleme. Viel interessanter aber wird für die vBulletion User der unserialize() Fix sein der bei grösseren Boards zu Performanceproblemen geführt hat.

Santy Wurm Attacken

Wie auch bereits auf heise.de gemeldet verbreitet sich im Moment ein PHP Wurm ziemlich heftig im Internet. In meinem Apache access_log finde ich seit dem Morgen unzählige Einträge dieses Wurms, diese sind teilweise so heftig das ich die erzeugte Last in den Serverstats deutlich erkenne. Ich werde dies entsprechend weiter …

PHP 5 released

Die neuste PHP Version 5.0.0 wurde released. Nach langer Entwicklungszeit ergeben sich hauptäschlich diese neuen Features: – Zend Engine 2 – komplett überarbeiteter XML Support – SOAP Extensions – Neue Extension: MySQLi für MySQL 4.1 und höher – SQLite Extensions – Enorme Verbesserung beim Handling von Streams Auf dem Testsystem …

PHP 4.3.7

Soeben wurde PHP 4.3.7 released. Dem Release liegen folgende Hinweise bei: Synchronized bundled GD library with GD 2.0.23. Fixed a bug that prevented compilation of GD extensions against FreeType 2.1.0-2.1.2. Fixed thread safety issue with informix connection id. Fixed incorrect resolving of relative paths by glob() in windows. Fixed mapping …

PHP 4.3.6 released

Unerwartet wurde PHP 4.3.6 released. In erster Linie handelt es sich hier um ein wichtiges Bugfix für die Benutzung unter Windows. Zusätzlch wurde angegeben: – Updated bundled PDFLib library to version 5.0.3p1 in Windows distribution. – Synchronized bundled GD library with GD 2.0.22. – Fixed bugs that prevented building of …

PHP 4.3.5 released

Soeben wurde PHP 4.3.5 released. Bei der Version handelt es sich in erster Linie um ein Bug-Fix Release ohne neue Features : – Fixed INI leak between Apache virtual hosts. – Fixed crashes inside fgetcsv() and make the function binary safe. – Fixed compilation with early versions of GCC 3.0. …