Hi,
steffenmaier wrote:hat jemand einen Tipp wie ich selbst auf PHP 8.3.x update
Ich hatte vor langer Zeit mal eine Anleitung geschrieben eine zusätzliche PHP Version einzubinden:
viewtopic.php?f=4&t=67753&p=232615#p232615steffenmaier wrote:Da es auch ein Lücke im Apache gibt siehe:
Betreff: Blitzmeldung: [CERT-rlp#2024040910000252] Apache: Mehrere Schwachstellen in HTTP Server
------------------------
Risiko: sehr hoch
------------------------
Ein entfernter Angreifer kann mehrere Schwachstellen in Apache HTTP Server ausnutzen, um Daten zu manipulieren.
Es wird empfohlen, die zur Verfügung stehenden Updates unter Berücksichtigung der Systemumgebung unverzüglich einzuspielen.
Software Version:
Apache HTTP Server < 2.4.59
Link zur Meldung:
https://informationssicherheit.rlp/cert ... ttp-serverLinks zu weiteren Informationen:
https://downloads.apache.org/httpd/CHANGES_2.4.59
Ich halte die Sicherheitseinschätzung deiner Quelle erstmal für unseriös. Apache Version 2.4.59 stopft 3 CVE Sicherheitslücken, deren Schweregrad noch nicht mit einem CVSS Score bewertet wurden:
https://nvd.nist.gov/vuln/detail/CVE-2023-38709https://nvd.nist.gov/vuln/detail/CVE-2024-24795https://nvd.nist.gov/vuln/detail/CVE-2024-27316Apache selbst schätzt die schwere mit "moderate" and "low" ein
https://httpd.apache.org/security/vulne ... es_24.htmlEs gehört zu den Aufgaben eines IT Administrators, Schwachstellen-Reports nicht nur blind zu folgen sondern in den richtigen Kontext zu setzen, um ggf. Maßnahmen daraus abzuleiten.
XAMPP ist eine lokale Test- und Entwicklungsumgebung und sollte daher garnicht von außen zugreifbar sein. Er sollte nichtmal als Produktivserver betrieben werden. Damit mildert sich die schwere solcher Sicherheitslücken automatisch dramatisch ab.
Wenn dir wichtig ist, dass deine Security Assessment Reports immer grün sind, musst du in der Lage sein, jede einzelne Komponente täglich aktualisieren zu können. Dann ist ein Bundle wie XAMPP ebenfalls die komplett falsche Wahl.
