Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Anzeige

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.


M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

MB 02. Nov 2005

OScommerce verlangt das afaik auch noch...

daace 02. Nov 2005

Bei der aktuellen XAMPP-Version (1.4.16) funktioniert die Seite (vorausgesetzt du meinst...

Coder 01. Nov 2005

du hast aber NULL ahnung von PHP! sei lieber still!

Martin F. 01. Nov 2005

Standard!

Kommentieren


SchuKo.Net Weblog / 01. Nov 2005

PHP Update auf Version 4.4.1



Anzeige

  1. IT Projektmanager (m/w)
    TÜV SÜD Gruppe, München
  2. Manager (m/w) Licensing Adminis­tration
    ICE INTERNATIONAL COPYRIGHT ENTERPRISE, Berlin
  3. Berater/in Product Information Management (PIM) Plattform
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Sachgebietsleiter (m/w) Unix / Linux
    Brandenburgischer IT-Dienstleister, Potsdam

 

Detailsuche


Blu-ray-Angebote
  1. NEU: Über 700 Top-Filme & Serien reduziert
    (u. a. Planet der Affen Revolution 8,97€, Terminator 1 8,97€, Titanic 6,97€, Das Schweigen...
  2. Filmfestival-Filme zum Sonderpreis
  3. Fantasy- & Mittelalter-Filme zum Sonderpreis
    (u. a. Jack Hunter Komplettbox 9,97€, Sucker Punch 7,99€, Mortal Kombat 7,99€, Flash Gordon 9...

 

Weitere Angebote


Folgen Sie uns
       


  1. #Landesverrat

    Justizminister Maas schmeißt Generalbundesanwalt raus

  2. Piranha Bytes' Elex

    Der Held hat einen Namen

  3. Stratolaunch Carrier

    Größtes Flugzeug der Welt soll 2016 erstmals starten

  4. Android-Schwachstelle

    Stagefright-Exploits wohl bald aktiv

  5. Steam VR

    Augmented Reality für die Zukunft, Virtual Reality für jetzt

  6. Physik-Engine

    Havok FX kehrt zurück

  7. King's Quest - Episode 1 im Test

    Lang lebe der Adventure-König

  8. Android-Verbreitung

    Anteil der Lollipop-Smartphones noch unter 20 Prozent

  9. Spielentwicklung

    Echtwelt-Elemente in Spielen

  10. Tracking

    EFF präsentiert nutzerfreundlichen DNT-Standard



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows 10 im Tablet-Test: Ein sinnvolles Windows für Tablets
Windows 10 im Tablet-Test
Ein sinnvolles Windows für Tablets
  1. Microsoft DVD-Player-App für Windows 10 nicht für jeden gratis
  2. Windows 10 Startmenü macht nach 512 Einträgen schlapp
  3. Windows 10 Erzwungene Updates können Treiberfehler verursachen

New Horizons: Pluto wird immer faszinierender
New Horizons
Pluto wird immer faszinierender
  1. Die Woche im Video Trauer, Tests und Windows 10
  2. New Horizons Gruß aus den Pluto-Bergen
  3. Raumfahrt New Horizons wirft einen kurzen Blick auf den Pluto

In eigener Sache: Preisvergleich bei Golem.de
In eigener Sache
Preisvergleich bei Golem.de
  1. In eigener Sache News von Golem.de bei Xing lesen
  2. In eigener Sache Golem.de erweitert sein Abo um eine Schnupper-Version

  1. Re: Könnte auch am Distributionsweg Google...

    Phiwa | 19:55

  2. Re: Endlich bekommen CPUs wieder was zu tun

    Prypjat | 19:55

  3. Re: DirectX 12

    Prypjat | 19:52

  4. Re: Kein Dual-SIM --> kein Kauf!

    Freakey | 19:52

  5. Re: Hersteller gefragt!

    Himmerlarschund... | 19:45


  1. 18:59

  2. 18:03

  3. 17:14

  4. 17:06

  5. 15:13

  6. 14:45

  7. 14:00

  8. 13:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel