Alle PHP-Versionen aus den aktuell gepflegten Versionsbäumen bis einschließlich 7.4.29, 8.0.19 und 8.1.6 sind von dem Fehler betroffen. Durch ein fälschlicherweise initialisiertes Array zur Speicherung von Parametern einer Datenbankanfrage könnten Angreifer bei geschickter Kombination bestimmter Datentypen den Heap korrumpieren und eigenen (Schad-)Code auf dem Zielsystem ausführen. Dazu muss allerdings die Möglichkeit bestehen, eigenen PHP-Code auszuführen. Die zweite Sicherheitslücke hat die Bezeichnung CVE-ID CVE-2022-31626 erhalten und findet sich in der PHP-Anbindung an MySQL.
Um den Schadcode einschleusen zu können, muss der Zielserver eine Verbindung zu einem speziell vorbereiteten MYSQL-Server aufbauen, die eine extrem lange Verschlüsselung nutzt.
In den neuen PHP-Versionen 7.4.30, 8.0.20 und 8.1.7 hat die PHP-Gruppe beide Probleme behoben. Beide Sicherheitslücken stellen ein sehr hohes Risiko dar.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Business Security finden Sie hier.