Es gibt wieder neue PHP-Sicherheitsupdates

Die beliebte Web-Programmiersprache PHP brauchte  schon wieder dringende Updates für die Sicherheit: Zum zweiten Mal innerhalb drei Wochen veröffentlichten die Entwickler sicherheitsrelevante Patches für die diversen PHP Versionen. Mit dem Update PHP 5.6.2 haben die Entwickler vier Lücken geschlossen, darunter auch einen Integer Overflow in der unserialize()-Funktion, der vor rund einem Monat über das Bugtracking-System des Projekts gemeldet wurde. Er betrifft nur die 32-bit-Versionen von PHP. Drei weitere Lücken klafften auch in den 64-bit-Builds. Sie steckten in den Modulen cURL, EXIF und XMLRPC. Für die Versionszweige 5.5 und 5.4 wurden ebenfalls Updates bereitgestellt, die Nummern der abgesicherten Versionen sind 5.5.18 und 5.4.34.

2014-10-20T18:41:56+02:00Oktober 20th, 2014|PHP|Kommentare deaktiviert für Es gibt wieder neue PHP-Sicherheitsupdates
Weiterlesen

PHP 5.6 steht zum Download bereit

Heute wurde PHP 5.6, das neueste Release der 5.xer Entwicklungsschiene, veröffentlicht. Das letzte Update vor gut einem Jahr hatte die Version PHP 5.5 installiert. PHP 5.6 bringt einen interaktiver Debugger, variadische Funktionen, einen rechtsassoziativer Operator, Importfeatures für Funktionen und Konstanten und auch die Möglichkeit, Dateien mit mehr als 2 GByte Größe hochzuladen, mit. Um die Sicherheit in den PHP-Anwendungen zu verbessern wurden die Funktion hash_equals() eingeführt, der Einsatz von sicheren Verbindungen mit SSL/TLS verbessert und auch der Hash-Algorithmusgost-crypto ergänzt. Weitere Informationen zu allen Änderungen und Verbesserungen finden sich in den Migrationshinweisen. Auch das Dokument über die mit PHP 5.6 entfernten Features kann für das Update älterer Lösungen wichtig werden.

2014-08-28T17:12:12+02:00August 28th, 2014|PHP|Kommentare deaktiviert für PHP 5.6 steht zum Download bereit
Weiterlesen

Die Version 5.3 der beliebten Scriptsprache PHP ist am Ende

PHP 5.3 ist inzwischen fünf Jahre alt und hat nun sein “End of Life” erreicht. Für den 5.3er Zweig soll es nach dem letzte Woche ausgelieferten 5.3.29 keine weiteren Updates mehr geben. Spätestens jetzt sollte man von dieser Version der beliebten Skriptsprache auf ein aktuelleres PHP wie 5.4 oder 5.5 oder das in Kürze erscheinende 5.6 wechseln. PHP 5.3 kam im Jahr 2009 heraus und war seinerzeit ein Meilenstein. Die 5.3er Version brachte Namespaces, späte Bindung, einen neuen Garbage Collector und ein eigenes MySQL-Client-Protokoll. Für das Update eines Softwaresystems auf PHP 5.4 gibt es schon längere Zeit eine Anleitung, ebenso für den Wechsel von PHP 5.4 auf PHP 5.5, die heute noch aktuelle Sprachversion. Nachfolger der Hauptversion PHP 5 wird übrigens aus einer ziemlich verrückten Entscheidung heraus nicht  PHP 6, sondern PHP 7.

2014-08-18T16:07:54+02:00August 18th, 2014|PHP|Kommentare deaktiviert für Die Version 5.3 der beliebten Scriptsprache PHP ist am Ende
Weiterlesen

Dank Facebook bekommt PHP eine saubere Spezifikation

Zum ersten Mal in ihrer mehr als zwanzigjährigen Entwicklungszeit bekommt die beliebte Programmiersprache PHP jetzt eine offizielle Spezifikation, wie sie auch für die meisten anderen Computersprachen existiert. Die Arbeit daran wird vor allem von Facebook vorangetrieben, aber auch die PHP-Community unterstützt das Projekt und beteiligt sich an der Ausarbeitung. Aktuell  beschränkten sich die PHP-Entwickler nur auf Beispiele, die sehr ausführliche Dokumentation und natürlich die plattformübergreifende Standard-Implementierung. Facebook stellt jetzt aber mit der Hiphop Virtual Machine (HHVM) eine schnellere Alternative zur Original-PHP-Engine bereit. Und auch die Community arbeitet an einer neuen Engine. Die zu erstellende Spezifikation soll dazu dienen, eine solide Grundlage für das Verhalten neuer Engines zu geben und dadurch zu verhindern, dass sich die Sprache in den diversen Implementierungen auseinander entwickelt, schreibt eine Facebook-Mitarbeiterin. Die Spezifikation basiert auf den Funktionen von PHP 5.6 und umfasst auch eine Test-Suite, die die Tests der Zend-Engine noch erweitert. Allerdings ist die Spezifikation noch im Aufbau, und auch die Tests enthalten wohl noch einige Fehler.

2014-07-31T22:24:58+02:00Juli 31st, 2014|PHP|Kommentare deaktiviert für Dank Facebook bekommt PHP eine saubere Spezifikation
Weiterlesen

Kommt als nächstes PHP 6 oder gleich PHP 7?

Das ist mal wieder eine Diskussion, so unnötig wie ein Kropf: Die Entwickler der Skriptsprache PHP diskutieren gerade intensiv, ob die nächste Hauptversion der meistgenutzten Scriptsprache PHP 7 statt PHP 6 heißen soll. Denn weil es schon gescheiterte Versuche für eine Version 6 gab, fürchtet ein Teil der PHP-Entwickler Verwirrung bei den Nutzern. Ich denke, dass man die Leute mit solchen Diskussionen und sogar Abstimmungen dazu noch weitaus mehr verwirrt, als mit einer normal weiterlaufenden Versionsnummer. Hätte man auch so viel Sorgfalt auf die Implementierung von Unicode in PHP gelegt, an der man ja schon seit 2005! werkelt, um die Unicode-Version dann als PHP 6 zu veröffentlichen, gäbe es doch keinen Grund für solche Fragen. Den Fehler, aus PHP 6 dann 5.3 und später 5.4 zu machen, nur weil man die Unicode-Verarbeitung nicht rechtzeitig hineingebacken gekriegt hat, kann man auch mit einem Versionssprung nicht wirklich wieder gut machen.

2014-07-23T18:45:21+02:00Juli 23rd, 2014|PHP|1 Kommentar
Weiterlesen

Serverzeit unter PHP 5 einstellen

Wenn die Zeit auf dem Server, auf dem Sie Ihre PHP-Anwendung hosten, nicht ihrer lokalen Zeit entspricht, ließ sich das bis PHP 5 beispielsweise mit dem nachfolgenden Code in der PHP-Startseite korrigieren: $today=date(‚Y-m-d-G‘); $today=strftime(“%Y-%m-%d-%H”, strtotime(“$today -2 hour”)); Mit diesem Beispiel wird die Serverzeit um zwei Stunden zurückgestellt. Ab PHP 5.1 sollte man zur Einstellung der korrekten Zeitzone allerdings besser die Funktion date_default_timezone_set() dafür benutzen. Das Beispiel legt die Zeitzone für London fest: date_default_timezone_set(‘Europe/London’);

2014-07-13T11:04:16+02:00Juli 13th, 2014|PHP|Kommentare deaktiviert für Serverzeit unter PHP 5 einstellen
Weiterlesen

Neue PHP-Versionen schließen Sicherheitslücken

Als Ersteller von Internet-Programmen mit der Programmiersprache PHP, besonders aber als Betreiber solcher PHP-gestützten Seiten ist es dringend geboten, dass Sie die PHP-Version auf Ihrem Server immer auf dem aktuellen Stand halten – sonst besteht die Gefahr, dass ungebetene Kriminelle Ihre Internetseiten für dubiose bis kriminelle Zwecke missbrauchen. Soeben sind die beidenPHP-Versionen  5.4.30 und 5.5.14 online gestellt worden. Sie schließen jeweils eine größere Anzahl von Sicherheitslücken, deshalb empfehlen die Entwickler ein zügiges Update. PHP 5.5.14 schließt im 5.5er Zweig 8 Sicherheitslücken mit eigenem CVE-Eintrag, im älteren Zweig 5.4 schließt die Version PHP 5.4.30 sogar 20. Die neuen Versionen stehen wie immer bei PHP.net zum Download bereit. Spezielle Windows-Pakete gibt es auch schon und die Linux-Distributoren werden wohl in Kürze ebenfalls aktualisierte Pakete anbieten.

2014-06-27T19:23:38+02:00Juni 27th, 2014|PHP|Kommentare deaktiviert für Neue PHP-Versionen schließen Sicherheitslücken
Weiterlesen

Neue PHP-Engine beschleunigt Programme um bis zu 30 Prozent

Um die Ausführung von PHP-Anwendungen zu beschleunigen, haben Mitarbeiter der Firma Zend mit JIT-Techniken und LLVM experimentiert. Das brachte aber noch nicht die gewünschte Beschleunigung, so dass das Team sich auf größere Umbauten an den internen Datentypen verlegte – das erbrachte jetzt Leistungssteigerungen zwischen 10 und 30 Prozent, wie Dmitry Stogov schreibt. Die Entwickler waren zwar davon ausgegangen, dass die Virtuelle Maschine (VM) optimiert sei, aber sie arbeitete wohl mit zu vielen Speicherzuweisungen und Referenzzählern. Daher sollen jetzt die Datentypen so geändert werden, dass solche “Heap-Zuweisungen minimiert werden“. Bis heute werden alle Werte von der Zend Engine auf dem Heap-Speicher verwaltet. Damit benutzen sie die Referenzzählung und den Garbage Collector. Außerdem arbeitet die Zend Engine hauptsächlich mit Zeigern auf die interne Datenstruktur für alle Variablen, Zvals. Die neue PHP-Implementierung nutzt keine Zeiger mehr und speichert die Zvals auf dem Stack, in Hashtable-Buckets und Property Slots. Das soll die Operationen auf dem langsameren Heap “dramatisch” verringern und vermeidet auch Referenzzählung und Garbage Collector für einfachere Datentypen. Eine Kompilieranleitung für die neue PHP-Engine findet sich im Wiki.

2014-05-06T22:10:59+02:00Mai 6th, 2014|PHP|Kommentare deaktiviert für Neue PHP-Engine beschleunigt Programme um bis zu 30 Prozent
Weiterlesen

Zend bietet Langzeit-Support für PHP an

Die maßgeblich an der Entwicklung der freien Programmiersprache PHP- beteiligte Firma Zend Technologies bietet ab sofort einen Long Term Support für die Skriptsprache an. Zurzeit unterstützt die PHP-Community ein großes Release der Programmiersprache drei Jahre lang. Darüber hinaus können Anwender jetzt von Zend einen verlängerten Support für die PHP-Laufzeitumgebung über ein LTS-Release des Zend-Server erhalten. Dies Release umfasst Support- und Security-Hotfixes sowohl für Zend Server als auch für die darin enthaltenen PHP-Laufzeitroutinen über einen längeren Zeitraum hinweg. Als naheliegendes Beispiel nennt Zend PHP 5.3, das von Seiten der PHP-Community nur noch bis Juli 2014 unterstützt wird. Für diese Version kann Zend Support-Leistungen bis Februar 2017 garantieren. Open-Source-Techniken wie PHP werden schon seit Jahren auch in professionellen Umgebungen eingesetzt. Für solche professionellen Nutzer dürfte das Angebot von Zend eine große Hilfe sein, um Internetanwendungen auf PHP-Basis längere Zeit ohne Migration laufen lassen zu können.

2014-02-11T17:52:11+02:00Februar 11th, 2014|PHP|Kommentare deaktiviert für Zend bietet Langzeit-Support für PHP an
Weiterlesen

Achtung: Systematische Angriffe auf Internetserver mit PHP

Der Heise-Newsticker berichtet aktuell über Versuche, Internetserver mit der Programmiersprache PHP zu übernehmen. Dabei wird offenbar ein erst vor Kurzem veröffentlichter Exploit benutzt, der eine Lücke in PHP 5 ausnutzt. Die Lücke ist zwar schon seit Mai 2012 bekannt und seit PHP Version 5.3.12 und 5.4.2 beseitigt, aber offenbar gibt es immer noch anfällige Server, die mit älteren Versionen von PHP laufen. Die Angriffe nutzen ein Problem aus, das nur aufkommt, wenn PHP nicht als Apache-Modul oder als FastCGI, sondern im CGI-Modus betrieben wird. Der Angreifer kann dabei dem PHP-Programm direkt Parameter über die Kommandozeile übergeben und so dann auch Schadcode einschleusen und ausführen lassen. Der aktuelle Exploit von Kingcope nutzt das, um dem Angreifer eine Shell auf dem Server bereit zu stellen. Ein Exploit ist ein fertiges Beispielprogramm zum Ausnutzen einer Sicherheitslücke im Quellcode (meist in C) – man muss es nur noch kompilieren, dann ist es einsatzbereit. In den Log-Dateien angegriffener Server finden sich reihenweise Einträge dieser Art: “POST /cgi-bin/php5?%2D%64+%61%6C%6C ..” die einen versuchten Angriff vermuten lassen. Wer also noch ungepatchte Web-Server mit PHP betreibt, sollte die jetzt bald aktualisieren, bevor er ungebetenen Besuch bekommt…

2013-11-05T21:24:53+02:00November 5th, 2013|Allgemein|Kommentare deaktiviert für Achtung: Systematische Angriffe auf Internetserver mit PHP
Weiterlesen
Nach oben