Sicherheitslücken in PHP 7 – 8.1

Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos…) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind .

In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren.

Viele Webseiten basieren auf , dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden.

Das quelloffene Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand.

Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.

Verwandte Beiträge
Sicherheitslücke in HP-Druckertreibern
viele von Ihnen setzen Drucker von HP im Unternehmen ein. Für eine größere Anzahl von Modellen wurden nun auch kritische
Open Audit Inventar
#OpenAudit Classic - Aktualisierungen August 2018: Das neue Installationsprogramm ist nun für die Plattform Windows Server 2016 und Windows 10
WordPress lokale Emoticons
Die folgenden Emoticons für #Wordpress lassen sich ohne Verbindungsaufbau auf externe Seiten im Text einbauen und werden automatisch aufgelöst. In
Drucken oder nicht – Septemberpatch
Update vom 21.09.2021: Wer seine Systeme bestmöglich absichern möchte, kann nun doch das September-Update installieren. Damit weiterhin gedruckt werden kann,
Neulich in Outlook
Wie der "Kudnenservice" der Sparkasse mitteilt, ist es unbedingt erforderlich, auf den Link in der E-Mail zu klicken. Durch das
Ändere Dein Passwort – Tag
Seit vielen Jahren gibt es immer am 01. Februar den Motto Tag "Ändere Dein Passwort". Nachdem schon vor Jahren durch
Über den Autor:

Patrick Bärenfänger ist seit mehr als 30 Jahren in der IT-Branche tätig und TÜV-geprüfter IT-Security Manager und -Auditor. Er beschäftigt sich mit der Gestaltung von Internet-Auftritten, Entwicklung von Web-Anwendungen, Mobilität, Fahrzeug-Multimediatechnik, neuer Software und Hardware. Windows und android sind seine Welt.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.