PHP-Sicherheitsprüfung: 27 Schwachstellen entdeckt und behoben

Der Open Source Technology Improvement Fund (OSTIF) hat mit Unterstützung des Sovereign Tech Fund und in Zusammenarbeit mit Quarkslab und der PHP Foundation im vergangenen Jahr eine umfassende Sicherheitsprüfung des PHP-Interpreters (PHP-SRC) durchgeführt. Diese Prüfung zielte darauf ab, die Sicherheit des weitverbreiteten Skriptsprachen-Interpreters noch vor der Veröffentlichung der Version PHP 8.4 im November 2024 zu verbessern.

Im Rahmen des Audits, das offenbar fast zwei Monate dauerte, führten die Experten von Quarkslab eine detaillierte Analyse durch, die sowohl manuelle Codeüberprüfungen als auch dynamische Tests und kryptografische Überprüfungen umfasste. Insgesamt wurden 27 Schwachstellen festgestellt, darunter 17 sicherheitsrelevante Probleme. Zu den schwerwiegendsten entdeckten Schwachstellen zählen zwei mit hoher und sechs mit mittlerer Schwere.

Einige der identifizierten Sicherheitslücken umfassen:

Eine Manipulation der PHP-Protokolle, die durch einen Fehler in der Daten-Parsing-Logik ermöglicht wurde (CVE-2024-9026).Probleme bei der Verarbeitung mehrteiliger Formularübermittlungen, die zu einer fehlerhaften Dateninterpretation führen können (CVE-2024-8925).Ein Speicherproblem im PHP-Filter, das zu Segmentierungsfehlern führt (CVE-2024-8928).Eine Schwachstelle im MySQL-Treiber, die Daten aus vorherigen Abfragen preisgeben kann (CVE-2024-8929).

Die PHP Foundation hebt in einem Blogbeitrag hervor, dass aufgrund eingeschränkter Budgetmittel nur die kritischsten Komponenten des Quellcodes geprüft wurden. Zu den überprüften Komponenten gehören unter anderem der PHP-FPM (FastCGI Process Manager), der MySQL-Datenbanktreiber und kryptografische Funktionen.

(Bild: nuevoimg / 123rf.com)