PHP lukker ude-af-drift-sikkerhedshul

Artiklen blev oprindeligt publiceret den 13/1/2012

Udviklerne af PHP har lukket et sikkerhedshul, som Microsoft for nylig lukkede i ASP.NET. Også en anden sårbarhed er rettet.

PHP 5.3.9 lukker et sikkerhedshul, som gør det let for en angriber at sætte serveren ud af drift: Angriberen skal bare sende en enkelt forespørgsel for at optage alle serverens ressourcer. Den samme sårbarhed lukkede Microsoft før nytår i ASP.NET, og den findes også i Java og andre webserverprogrammer.

Den nye PHP-version lukker desuden en sårbarhed i behandlingen af EXIF-data i billedfiler.

Anbefaling
Brugere af PHP bør opdatere til den nye version.

Links

• PHP 5.3.9 Released, information fra udviklerne
• PHP 5.3.9 released with hash DoS fix, artikel fra The H Security