Die PHP-Entwickler haben neue Versionen des Interpreters veröffentlicht, die mindestens eine Sicherheitslücke schließen. Sofern eine Filterfunktion FILTER_VALIDATE_FLOAT
mit min
– und max
-Begrenzung genutzt wird und der Filter – angedeutet in den Changelogs der PHP-Maintainer etwa bei Integer-Werten – fehlschlägt, könnte das eine Use-after-free-Lücke aufreißen. Das kann in einen Absturz münden oder potenziell zum Überschreiben von Speicherbereichen und in der Folge zur Ausführung untergeschobenen Schadcodes missbraucht werden (CVE-2021-21708, CVSS 8.2, Risiko hoch). Die Schwachstelle betrifft PHP in den Versionen 7.4.x vor 7.4.28, 8.0.x vor 8.0.16sowie 8.1.x vor 8.1.3. PHP 7.4.28 schließt ausschließlich das Sicherheitsleck. Version 8.0.16 (Changelog) und 8.1.3 (Changelog) hingegen beheben weitere, jedoch nicht sicherheitsrelevante Fehler, darunter Speicherlecks. Auf der PHP-Website stehen Downloads etwa von aktualisierten Windows-Binärdateien sowie neue Quellcode-Pakete bereit. Linux-Distributionen dürften ebenfalls in Kürze aktualisierte Pakete verteilen. Administratoren, die PHP einsetzen, sollten das Update zeitnah einplanen und durchführen.