Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Anzeige

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.


M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

MB 02. Nov 2005

OScommerce verlangt das afaik auch noch...

daace 02. Nov 2005

Bei der aktuellen XAMPP-Version (1.4.16) funktioniert die Seite (vorausgesetzt du meinst...

Coder 01. Nov 2005

du hast aber NULL ahnung von PHP! sei lieber still!

Martin F. 01. Nov 2005

Standard!

Kommentieren


SchuKo.Net Weblog / 01. Nov 2005

PHP Update auf Version 4.4.1



Anzeige

  1. eBusiness Engineer (m/w) - Connected Services
    Robert Bosch GmbH, Karlsruhe
  2. SW-Requirements-Manager (m/w)
    Daimler AG, Kirchheim
  3. E-Commerce Reimbursement Manager EMEA (m/w)
    Abbott Diabetes Care (ADC) Division, Wiesbaden
  4. IT-Projektmanager (m/w)
    ckc ag, Braunschweig/Wolfsburg

 

Detailsuche


Hardware-Angebote
  1. Alle PCGH-PCs inkl. The Witcher 3
  2. TIPP: Kingston HyperX Cloud Headset
    84,90€
  3. TIPP: Alternate Schnäppchen Outlet

 

Weitere Angebote


Folgen Sie uns
       


  1. 3D-Drucker

    Makerbot entlässt 20 Prozent seiner Mitarbeiter

  2. Negativauszeichnung

    Lauschende Barbie erhält Big Brother Award

  3. Bemannte Raumfahrt

    Russland will bis 2023 eigene Raumstation bauen

  4. Windows 10 für Smartphones

    Office-Universal-App kommt noch im April

  5. Keine Science-Fiction

    Mit dem Laser gegen Weltraumschrott

  6. Die Woche im Video

    Ein Zombie, Insekten und Lollipop

  7. Star Wars Battlefront

    Planetenkampf vor dem Erwachen der Macht

  8. Geodaten

    200 Beschäftigte verpixelten Google-Street-View-Häuser

  9. Windkraftwerke

    Kletterroboter überprüft Windräder

  10. Inside Abbey Road

    Mit Google durch das berühmteste Musikstudio der Welt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Mini-PCs unter Linux: Installation schwer gemacht
Mini-PCs unter Linux
Installation schwer gemacht
  1. Mini-Business-Rechner im Test Erweiterbar, sparsam und trotzdem schön klein
  2. Shuttle DS57U Passiver Mini-PC mit Broadwell und zwei seriellen Com-Ports
  3. Broadwell-Mini-PC Gigabytes Brix ist noch kompakter als Intels NUC

Lenovo Thinkpad X1 Carbon im Test: Zurück zu den Wurzeln
Lenovo Thinkpad X1 Carbon im Test
Zurück zu den Wurzeln
  1. HyperX-Serie Kingstons Predator ist die vorerst schnellste Consumer-SSD
  2. Dell XPS 13 Ultrabook im Test Bis zur Unendlichkeit und noch viel weiter!

Openstack: Viele brauchen es, keiner versteht es - wir erklären es
Openstack
Viele brauchen es, keiner versteht es - wir erklären es
  1. Dach Tag 2015 Openstack-Verein lädt zu deutschem Jahrestreffen
  2. Cebit 2015 Das Open Source Forum debattiert über Limux

  1. Was ist ihr Beruf?

    Unix_Linux | 11:19

  2. Re: ich glaube Du schaust einfach zu viel ÖRTV

    Icestorm | 11:17

  3. Re: Jungs - gute Arbeit!

    Unix_Linux | 11:15

  4. Re: Es gibt ein Release; war: Version 1.0 ist...

    mnementh | 11:12

  5. Teurer für den Kunden?

    Icestorm | 11:10


  1. 11:05

  2. 22:59

  3. 15:13

  4. 14:40

  5. 13:28

  6. 09:01

  7. 20:53

  8. 19:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel