Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Anzeige

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.


M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

MB 02. Nov 2005

OScommerce verlangt das afaik auch noch...

daace 02. Nov 2005

Bei der aktuellen XAMPP-Version (1.4.16) funktioniert die Seite (vorausgesetzt du meinst...

Coder 01. Nov 2005

du hast aber NULL ahnung von PHP! sei lieber still!

Martin F. 01. Nov 2005

Standard!

Kommentieren


SchuKo.Net Weblog / 01. Nov 2005

PHP Update auf Version 4.4.1



Anzeige

  1. Java EE-Entwickler (Jee / J2ee) (m/w)
    Topcart GmbH, Wiesbaden
  2. Mitarbeiter (m/w) Investment Reporting
    Generali Investments Europe S.p.A. Società di Gestione del Risparmio, Köln
  3. Customer Service Performance Analyst (m/w)
    Home Shopping Europe GmbH, Ismaning Raum München
  4. IT-Projektkoodinator/in Schwerpunkt ERP / DMS
    Felss Holding GmbH, Königsbach-Stein

 

Detailsuche


Blu-ray-Angebote
  1. Der Hobbit: Die Schlacht der fünf Heere (Steelbook) [Blu-ray] [Limited Edition]
    32,99€ (Release 23.04.)
  2. NEU: Der Tatortreiniger 1+2 (Folge 1-9 + Bonus-DVD) [Disc 1- Blu-ray]
    14,97€
  3. NEU: 4 Blu-rays für 30 EUR - nur 7,50€ pro Film
    (u. a. Edge of Tomorrow, The Wolf of Wall Street, Django Unchained, Homefront, 12 Years a Slave...

 

Weitere Angebote


Folgen Sie uns
       


  1. MWC-Tagesrückblick im Video

    Chromatische Aberrationen und Dank an die Kollegen von Heise

  2. Unity Technologies

    Unity 5 mit neuen Grafikfunktionen verfügbar

  3. Windows 7

    Knapp fünf Jahre Haft im ersten PC-Fritz-Urteil

  4. Alcatel Onetouch Idol 3 im Hands On

    Oben, unten, egal

  5. Quantenmechanik

    Foto zeigt Licht als Wellen und Teilchen

  6. NGMN-Allianz

    200.000 5G-Mobilfunknutzer auf einem Quadratkilometer

  7. Vodafone

    "Mobilfunkpreise sollten zur Finanzierung von 5G steigen"

  8. Acer Liquid M220

    Markteinstieg mit Windows Phone für 90 Euro

  9. Ted Unangst

    OpenBSD will Browser sicherer machen

  10. Dual-Boot

    Console OS bringt Android-Spiele auf x86-Rechner



Haben wir etwas übersehen?

E-Mail an news@golem.de



Freenet: Das anonyme Netzwerk mit der Schmuddelecke
Freenet
Das anonyme Netzwerk mit der Schmuddelecke
  1. Android 5 Google verzichtet (noch) auf Verschlüsselungszwang
  2. Geheimdienstchef Clapper Cyber-Armageddeon ist nicht zu befürchten
  3. Zertifizierungspflicht Die Übergangsfrist für ISO 27000 läuft ab

Technical Preview im Test: So fühlt sich Windows 10 für Smartphones an
Technical Preview im Test
So fühlt sich Windows 10 für Smartphones an
  1. Internet Explorer Windows 10 soll asm.js voll unterstützen
  2. Microsoft Windows 10 erhält Anmeldestandard Fido
  3. Mobiles Betriebssystem Technical Preview von Windows 10 für Smartphones ist da

Fertigungstechnik: Der 14-Nanometer-Schwindel
Fertigungstechnik
Der 14-Nanometer-Schwindel
  1. Ezchip Tilera Tile-Mx100 Der 100-ARM-Netzwerkprozessor
  2. Britischer Röhrencomputer EDSAC Seltenes Bauteil in den USA gefunden
  3. Prozessor AMDs Zen soll acht Kerne in 14-nm-Technik bieten

  1. Re: Das ist so gewollt

    azeu | 21:16

  2. Re: und für alle lieber-nicht-alpha/betatester:

    Rulf | 21:14

  3. Re: Wir schützen amerikanische Monopolisten

    berritorre | 21:11

  4. Re: 100¤ !!! xDDDD

    Dennis_2k5 | 21:11

  5. Re: Kranke Welt

    Andreas2k | 21:11


  1. 20:41

  2. 18:59

  3. 18:37

  4. 18:24

  5. 18:05

  6. 17:55

  7. 17:14

  8. 16:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel