Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Anzeige

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.


M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

MB 02. Nov 2005

OScommerce verlangt das afaik auch noch...

daace 02. Nov 2005

Bei der aktuellen XAMPP-Version (1.4.16) funktioniert die Seite (vorausgesetzt du meinst...

Coder 01. Nov 2005

du hast aber NULL ahnung von PHP! sei lieber still!

Martin F. 01. Nov 2005

Standard!

Kommentieren


SchuKo.Net Weblog / 01. Nov 2005

PHP Update auf Version 4.4.1



Anzeige

  1. IT-Spezialist/-in
    Dataport, Hamburg
  2. IT Business Analyst (m/w)
    Sanacorp Pharmahandel GmbH, Planegg bei München
  3. Magento Web Developer (m/w)
    transact Elektronische Zahlungssysteme GmbH - epay, Martinsried (bei München)
  4. Softwareentwickler für modellbasierte Entwicklung und Embedded Systeme (m/w)
    MBtech Group GmbH & Co. KGaA, Mannheim, Sindelfingen bei Stuttgart, Ulm/Neu-Ulm, Rüsselsheim (Home-Office möglich)

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: Sledge Hammer - Limited Special Edtion (Alle 41 Folgen im 12 Disc Set)
    49,99€ (Vorbesteller-Preisgarantie) - Release 16.03.
  2. PREIS-TIPP: Transcend 1.000-GB-SSD
    329,99€
  3. TIPP: Saturn Online Only Offers (bis Montag 09 Uhr)
    (alle Angebote versandkostenfrei, u. a. Beasty Blu-ray u. Hangover 3 Blu-ray je 3,99€, Man of...

 

Weitere Angebote


Folgen Sie uns
       


  1. VLC-Hauptentwickler

    "Appstores machen Kopfschmerzen"

  2. Torrent

    The Pirate Bay ist zurück - zumindest ein bisschen

  3. Freier Videocodec

    Daala muss Technik patentieren

  4. Android-Konsole

    Alibaba investiert zehn Millionen US-Dollar in Ouya

  5. Andrea Voßhoff

    Datenschutzbeauftragte jetzt gegen Vorratsdatenspeicherung

  6. Breitbandausbau

    "Wer Bauland will, fragt heute erst nach schnellem Internet"

  7. Dying Light

    Performance-Patch reduziert Sichtweite

  8. Project Tango

    Googles 3D-Sensor-Konzept verlässt Experimentierstatus

  9. Messenger

    Telefoniefunktion für Whatsapp erreicht erste Nutzer

  10. iTunes Connect

    Hallo, fremdes Benutzerkonto



Haben wir etwas übersehen?

E-Mail an news@golem.de



HDR und Dolby Vision: Die vorläufige Rückkehr der dicken Fernseher
HDR und Dolby Vision
Die vorläufige Rückkehr der dicken Fernseher
  1. DVB-T2/HEVC Nur ein Betreiber will Antennen-TV in HD aufbauen
  2. Super Hi-Vision NHK will 13-Zoll-OLED mit 8K-Auflösung zeigen
  3. CoreStation Teufels teurer HDMI-Receiver passt hinter den Fernseher

Testplattform für Grafikkarten: Des Golems Zauberwürfel
Testplattform für Grafikkarten
Des Golems Zauberwürfel
  1. Maxwell-Grafikkarte Nvidia korrigiert die Spezifikationen der Geforce GTX 970
  2. Geforce GTX 960 Nvidias neue Grafikkarte ist eine halbe GTX 980
  3. Bis 4 GHz Takt Samsung verdoppelt Grafikspeicher-Kapazität

Grim Fandango im Test: Neues Leben für untotes Abenteuer
Grim Fandango im Test
Neues Leben für untotes Abenteuer
  1. Vorschau 2015 Von Hexern, Fledermausmännern und VR-Brillen
  2. Spielejahr 2014 Gronkh, GTA 5 und #Gamergate
  3. Day of the Tentacle (1993) Zurück in die Zukunft, Vergangenheit und Gegenwart

    •  / 
    Zum Artikel