| Der Sicherheitsspezialist Maksymilian Arciemowicz berichtet auf seinen Webseiten und der Mailingliste Full Disclosure über vier Schwachstellen in den aktuellen Versionen 5.1.2 und 4.4.2 sowie vorhergehenden Ausgaben der Skriptsprache PHP. Angreifer können sie für Cross-Site-Skripting-Attacken (XSS) ausnutzen, darüber Sicherheitsrestriktionen umgehen und Prozesse des Webservers Apache zum Absturz bringen. Abgesehen vom Apache-Fehler sind die Lücken im Release Candidate 3 von PHP 5.1.3 gestopft, der bislang aber nur über CVS zur Verfügung steht. |
|