PHP-Schwachstellen in LDAP- und Datenbanktreibern

PHP-Entwickler veröffentlichten dringende Sicherheits-Updates, um verschiedene kritische Schwachstellen zu schließen. Besonders kritisch sind die Sicherheitslücken CVE-2024-11236 und CVE‑2024‑8932.

Ursache für die PHP-Schwachstelle CVE-2024-11236 im Firebird-Datenbanktreiber und im Microsoft SQL-Server/Sybase-Datenbanktreiber ist ein Speicherüberlauf, insbesondere auf 32-Bit-Systemen. Angreifer können dadurch außerhalb des vorgesehenen Arbeitsspeichers schreiben. Dies kann erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit von Daten nach sich ziehen.

Die Ausnutzung der Schwachstelle CVE-2024-8932 ist ausschließlich auf 32-Bit-Systemen möglich. Auch hier können Angreifer einen Speicherüberlauf provozieren, beliebigen (Schad-)Code ausführen und so das System kompromittieren.

Betroffen von beiden Schwachstellen sind die PHP-Versionen vor 8.1.31, vor 8.2.26 und vor 8.3.14.

Die genannten sowie weitere Schwachstellen sind ab folgenden PHP-Versionen behoben:

• 8.1.31
• 8.2.26
• 8.3.14

Die beide kritischen Schwachstellen haben jeweils einen CVSS-Base-Score von 9.8/10.

PHP ist eine weit verbreitete Skriptsprache, die für die Erstellung interaktiver Webseiten eingesetzt wird. Deshalb ist anzunehmen, dass Cyberkriminelle in naher Zukunft versuchen werden, die Schwachstellen auszunutzen.

Aktualisieren Sie betroffene Produkte umgehend auf eine gepatchte PHP-Version.