Kritische PHP-Schwachstellen: Breite Sicherheitsupdates für Linux-Distributionen verfügbar

Für PHP wurden mehrere schwerwiegende Sicherheitslücken mit einem hohen Gesamtrisiko (CVSS 8.6) geschlossen. Betroffen sind PHP-Versionen unterhalb von 8.1.34, 8.2.30, 8.3.29, 8.4.16 und 8.5.1. Die Schwachstellen erlauben unter anderem das Ausspähen von Informationen, die Ausführung beliebigen Programmcodes sowie Denial-of-Service-Angriffe – ohne erforderliche Privilegien und aus der Ferne.

Im Rahmen der Aktualisierungen wurden seit Dezember 2025 zahlreiche Distributionen versorgt. Ubuntu stellt Updates für 18.04 ESM, 20.04 ESM, 22.04 LTS, 24.04 LTS sowie die Versionen 25.04 und 25.10 bereit. Debian 13 Trixie erhielt PHP 8.4.16, openSUSE Leap 15.6 PHP 8.2.30 und SUSE Linux Enterprise Server 15 SP7 PHP 8.3.29. Für Fedora 42 und 43 sind entsprechende Pakete aktuell im Testing-Status verfügbar.

Konkret behoben wurden eine Speicherleck-Schwachstelle in getimagesize (CVE-2025-14177), ein Heap-Buffer-Overflow in array_merge mit möglicher Remote-Code-Ausführung (CVE-2025-14178), eine DoS-Schwachstelle in PDO durch NULL-Pointer-Dereferenzierung (CVE-2025-14180) sowie eine SSRF-Lücke in DNS-Funktionen bei fehlerhafter Null-Byte-Behandlung (GHSA-www2-q4fc-65wf). Administratoren wird dringend empfohlen, die bereitgestellten Sicherheitsupdates zeitnah einzuspielen.

Related Posts

SUSE Virtualization: Kritische SSH-Lücke im interaktiven Installer entdeckt

In SUSE Virtualization (Harvester) wurde eine kritische Sicherheitslücke identifiziert, die unautorisierten SSH-Zugriff auf Hosts ermöglicht. Betroffen sind die Versionen 1.5.x und 1.6.x, sofern der interaktive Installer zur Erstellung eines neuen Clusters oder zum Hinzufügen weiterer Hosts genutzt wird. Die Schwachstelle wird unter CVE-2025-62877 geführt und mit einem CVSS-Score von 9.8 als kritisch eingestuft.

Read More

Coolify: Drei kritische Schwachstellen ermöglichen Root-RCE und SSH-Schlüsseldiebstahl

Am 5. Januar 2026 wurden drei schwerwiegende Sicherheitslücken in der Self-Hosting-Plattform Coolify veröffentlicht, die es niedrig privilegierten Nutzern ermöglichen, vollständige Systemkompromittierungen zu erreichen. Die Schwachstellen sind unter den Kennungen CVE-2025-64419, CVE-2025-64420 und CVE-2025-64424 registriert und betreffen mehrere Kernfunktionen der Plattform.

Read More

EU-Kommission plant verbindliches Huawei-Verbot im Cybersecurity Act

Laut einem Bericht von Golem erwägt die EU-Kommission, den Einsatz chinesischer Technologieanbieter wie Huawei und ZTE in kritischen Infrastrukturen künftig verpflichtend zu untersagen. Hintergrund ist eine geplante Überarbeitung des Cybersecurity Acts, die am 14. Januar 2026 vorgestellt werden soll. Damit würden die bislang freiwilligen Maßnahmen der sogenannten ICT Toolbox verbindlich umgesetzt, die den Ausschluss von Technik aus als nicht vertrauenswürdig eingestuften Staaten vorsieht.

Read More