Ein Aufruf der Webseite php.net ist für PHP Entwickler quasi ein muß.
Heute, 14.9., gab es ein CERT Mitteilung dazu, daß PHP 5.6.12 einen sicherheitskritischen Bug enthält.
Wenn man heute nun php.net aufruft bekommt man dies angezeigt :
HTTP/1.1 200 OK
Server: nginx/1.0.15
Date: Mon, 14 Sep 2015 12:12:24 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
X-Powered-By: PHP/5.6.12
Content-language: en
X-Frame-Options: SAMEORIGIN
Set-Cookie: COUNTRY=NA%2C62.226.159.40; expires=Mon, 21-Sep-2015 12:12:24 GMT; Max-Age=604800; path=/; domain=.php.net
Link: ; rel=shorturl
Man solte doch annehmen, daß PHP.Net als DIE (u.a. deutsche) Referenzseite für PHP als erste ein Update bekommen, oder ? Besonders wenns eine RCE Schwachstelle ist ( Remote Code Execution ).
Als Sicherheitstip findet sich dann hier auch folgender Hinweis der Seitenadmins :
„Aktuell bleiben
PHP wird, wie jedes andere große System auch, ständig geprüft und weiterentwickelt. Neue Versionen enthalten in der Regel sowohl kleinere als auch größere Änderungen, um die Sicherheit zu erhöhen und sowohl Fehler als auch Konfigurationspannen und andere Probleme auszugleichen, die die Gesamtsicherheit und -stabilität Ihres Systems beeinflussen können.
Wie auch bei anderen Scriptsprachen und Programmen auf Systemebene, ist der beste Ansatz ein regelmäßiges Updaten, und sich laufend über die letzten Versionen und deren Änderungen zu informieren.“
In dem Sinne, viel Spaß mit den „aktuellen“ Exploits 😉