Die PHP-Version 5.3.10 behebt einen Fehler, der als Sicherheits-Fix im vorherigen PHP-Release eingeführt wurde.
In der Version 5.3.10 haben die PHP-Entwickler eine kritische Sicherheitslücke geschlossen, über die das Einschleusen von Code in PHP-Installation möglich ist. Einführt wurde das Problem in einem eigentlich als Bugfix für eine andere Sicherheitslücke gedachten Patch für PHP 5.3.9 . Angreifer konnten dabei eine Denial-of-Service-Attacke starten, indem sie gezielt Kollisonen von Hash-Werten ausnutzten. Zur Behebung dieses Problems hatten sie die maximale Größe der Eingabe-Variablen "max_input_vars" auf 1000 begrenzt. Diese fixe Begrenzung eröffnete aber wiederum die aktuell geschlossene Sicherheitslücke für Overflow-Exploits. Die PHP-Entwickler raten nun allen Betreibern von Webservern mit PHP-Support dringend zum Upgrade auf PHP 5.3.10.
Security-Updates für Windows-Betriebssysteme schließen die kritische Lücke in der Windows-Shell.