Abo
  • Services:
Anzeige

Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Anzeige

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.


eye home zur Startseite
M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

sdfsd 01. Nov 2005

Perl, Python oder Pike. Das Problem an PHP ist das die Firma (Zend) nur Geld verdienen...


SchuKo.Net Weblog / 01. Nov 2005

PHP Update auf Version 4.4.1



Anzeige

Stellenmarkt
  1. Kontron AG, Augsburg
  2. imbus AG, Norderstedt, Köln, Hofheim am Taunus, München, Möhrendorf
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. über Robert Half Technology, Großraum Düsseldorf


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. Xbox One Special Edition Controller je 37,00€, Game of...
  2. für je 11,99€
  3. 22,46€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Project Mortar

    Mozilla möchte Chrome-Plugins für Firefox unterstützen

  2. Remedy

    Steam-Version von Quantum Break läuft bei Nvidia flotter

  3. Videostreaming

    Twitch Premium wird Teil von Amazon Prime

  4. Dark Souls & Co.

    Tausende Tode vor Tausenden von Zuschauern

  5. Die Woche im Video

    Grüne Welle und grüne Männchen

  6. Systemd.conf 2016

    Pläne für portable Systemdienste und neue Kernel-IPC

  7. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  8. Internetsicherheit

    Die CDU will Cybersouverän werden

  9. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  10. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

X1D ausprobiert: Die Hasselblad für Einsteiger
X1D ausprobiert
Die Hasselblad für Einsteiger
  1. Modulares Smartphone Lenovo bringt Moto Z mit Moto Z Play nach Deutschland
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab

Osmo Mobile im Test: Hollywood fürs Smartphone
Osmo Mobile im Test
Hollywood fürs Smartphone
  1. In the Robot Skies Drohnen drehen einen Science-Fiction-Film
  2. Mavic Pro DJI stellt klappbaren 4K-Quadcopter für 1.200 Euro vor
  3. DJI Flugverbotszonen in Drohnensoftware lassen sich ausschalten

  1. Re: Wieder dieser SUV Mist

    Subotai | 14:09

  2. Re: Gründe für zwei verschiedene Versionen?

    KrasnodarLevita... | 14:07

  3. Re: Riskanter Neuanfang

    grorg | 14:01

  4. Re: Man könnte sich auch zusammen tun

    grorg | 13:59

  5. Re: VLC Alternative?

    RipClaw | 13:59


  1. 13:15

  2. 12:30

  3. 11:45

  4. 11:04

  5. 09:02

  6. 08:01

  7. 19:24

  8. 19:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel