Der Open Source Technology Improvement Fund (OSTIF) hat mit Unterstützung des Sovereign Tech Fund und in Zusammenarbeit mit Quarkslab und der PHP Foundation im vergangenen Jahr eine umfassende Sicherheitsprüfung des PHP-Interpreters (PHP-SRC) durchgeführt. Diese Prüfung zielte darauf ab, die Sicherheit des weitverbreiteten Skriptsprachen-Interpreters noch vor der Veröffentlichung der Version PHP 8.4 im November 2024 zu verbessern.

Im Rahmen des Audits, das offenbar fast zwei Monate dauerte, führten die Experten von Quarkslab eine detaillierte Analyse durch, die sowohl manuelle Codeüberprüfungen als auch dynamische Tests und kryptografische Überprüfungen umfasste. Insgesamt wurden 27 Schwachstellen festgestellt, darunter 17 sicherheitsrelevante Probleme. Zu den schwerwiegendsten entdeckten Schwachstellen zählen zwei mit hoher und sechs mit mittlerer Schwere.

Einige der identifizierten Sicherheitslücken umfassen:

Eine Manipulation der PHP-Protokolle, die durch einen Fehler in der Daten-Parsing-Logik ermöglicht wurde (CVE-2024-9026).Probleme bei der Verarbeitung mehrteiliger Formularübermittlungen, die zu einer fehlerhaften Dateninterpretation führen können (CVE-2024-8925).Ein Speicherproblem im PHP-Filter, das zu Segmentierungsfehlern führt (CVE-2024-8928).Eine Schwachstelle im MySQL-Treiber, die Daten aus vorherigen Abfragen preisgeben kann (CVE-2024-8929).

Die PHP Foundation hebt in einem Blogbeitrag hervor, dass aufgrund eingeschränkter Budgetmittel nur die kritischsten Komponenten des Quellcodes geprüft wurden. Zu den überprüften Komponenten gehören unter anderem der PHP-FPM (FastCGI Process Manager), der MySQL-Datenbanktreiber und kryptografische Funktionen.

betterCode() PHP am 25. November 2025 betterCode() PHP am 25. November 2025

(Bild: nuevoimg / 123rf.com)

Die betterCode() PHP, eine Online-Konferenz von iX und dpunkt.verlag in Kooperation mit thePHP.cc, findet am 25. November 2025 statt. Interessierte können sich in Vorträgen und Diskussionsrunden über die Programmiersprache informieren – einen Blick über den Tellerrand wird es auch geben. Bis zum Onlinegang des Programms gibt es vergünstigte Tickets zum Blind-Bird-Tarif. Wer sich über die Themen der letzten Jahre informieren möchte, findet eine Rückschau auf der Konferenz-Website.

Trotz der aufgezeigten Schwachstellen bewertet das Forscherteam von Quarkslab den allgemeinen Sicherheitsstandard des PHP-Codes als gut. Die meisten identifizierten Schwachstellen erfordern spezifische Voraussetzungen, die laut Blogbeitrag in Produktionsumgebungen selten anzutreffen sind.

Die gefundenen Sicherheitslücken hat die PHP-Community inzwischen behoben. Nutzerinnen und Nutzer des PHP Interpreters (PHP-SRC) sollten auf die neueste verfügbare Version aktualisieren, um von den durchgeführten Sicherheitsverbesserungen zu profitieren.

Nähere Informationen bieten ein ausführlicher Bericht von Quarkslab SAS, der Blogbeitrag der PHP Foundation sowie eine Ankündigung bei OSTIF.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Original Link
(Ursprünglich geschrieben von Heise)