Scriptorama.nl

Er zijn de afgelopen paar dagen 2 nieuwe versies van PHP uitgebracht. Donderdag kwam de laatste versie van de PHP 5.1 tak uit en vrijdag een nieuwe versie van de PHP 4.4 tak. Beide behandelen ze (onder andere) een beveiligings probleem met HTTP headers.

• Downloads voor PHP 5.1 en 4.4
• PHP 4.4.2 release notes
• PHP 5.1.2 release notes
• Lees de security advisory van Hardened-PHP.net

Het beveiligings probleem deed zich voor in PHP versies sinds 5.1 waar een wijziging in de sessie module er voor zorgde dat de nodige cross site scripting aanvallen mogelijk werden voor webservers die de standaard (zelfs aangeraadde) instellingen voor PHP gebruikten.

Het session ID, dat tot 5.1 enkel aan het begin van een sessie werd verstuurd, wordt sinds 5.1 met elk request weer meegestuurd. Gebrekkige interne controle op dit session ID zorgde er vervolgens voor dat willekeurige HTTP headers meegestuurd konden worden met alle gevolgen van dien. Dit is in deze release aangepakt. Om dat PHP gebruikers nog wel eens HTTP headers genereren aan de hand van user input, denk aan "Download als" functionaliteit, is het ook niet meer mogelijk om met de header() functie meerdere headers in eenmaal te versturen.

Niet meer mogelijk met PHP 4.4.2 en 5.1.2
[phpcode]
header("Content-Disposition: attachment; filename=\"data.csv\"\nContent-Type: application/force-download");
[/phpcode]

Verder zijn er nog kleinere dingen aangepakt die minder impact hebben en voor de PHP 5.1 users zijn er zelfs wat nieuwe dingen. Zo is de extensie XMLWriter vanaf nu beschikbaar in alle standaard >= PHP 5.1.2 installaties.