Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Anzeige

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.


M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

MB 02. Nov 2005

OScommerce verlangt das afaik auch noch...

daace 02. Nov 2005

Bei der aktuellen XAMPP-Version (1.4.16) funktioniert die Seite (vorausgesetzt du meinst...

Coder 01. Nov 2005

du hast aber NULL ahnung von PHP! sei lieber still!

Martin F. 01. Nov 2005

Standard!

Kommentieren


SchuKo.Net Weblog / 01. Nov 2005

PHP Update auf Version 4.4.1



Anzeige

  1. Mitarbeiter SAP Support (m/w)
    Novotechnik Messwertaufnehmer OHG, Ostfildern
  2. Sachbearbeiter/in IT-Anwenderservice
    LeasePlan Deutschland GmbH, Neuss
  3. Senior-PHP-Entwickler (m/w) Web-Development
    Planet Sports GmbH, München
  4. Fachinformatiker (m/w)
    Clemens Kleine Dienstleistungen GmbH & Co. KG, Düsseldorf

 

Detailsuche


Folgen Sie uns
       


  1. UI-Framework

    Digias Qt wird zur Qt-Company

  2. Microsoft

    PC-Version des Xbox-One-Controllers angekündigt

  3. Security

    FreeBSD schließt Schwachstelle im TCP-Stack

  4. Nach der Orangebox

    AMD und Canonical bieten Openstack-Server

  5. Cloud Congress 2014

    Huawei verkauft Intel-Standardserver nur als Türöffner

  6. Photokina 2014

    Olympus stellt Open-Source-Kamerakonzept vor

  7. Neue iPhone-Modelle

    Apple hofft auf Android-Umsteiger

  8. Freies Betriebssystem

    Minix 3.3.0 läuft auf ARM

  9. Imsi-Catcher

    Catch me if you can

  10. Peering

    Netflix streamt mit 100 Gigabit nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de



Smartphone-Diebstahl: Sicher ist nur, wer schnell reagiert
Smartphone-Diebstahl
Sicher ist nur, wer schnell reagiert
  1. Sicherheitslücke bei Android AOSP-Browser soll über Javascript angreifbar sein
  2. Android-Versionen Kitkat verbreitet sich langsamer als Jelly Bean
  3. Googles VoIP-Dienst Kostenlos telefonieren mit Hangouts für Android und iOS

Mobile Encryption App angeschaut: Telekom verschlüsselt Telefonie
Mobile Encryption App angeschaut
Telekom verschlüsselt Telefonie
  1. Magenta Mobil Deutsche Telekom startet neues Tarif-Portfolio
  2. Telekom Störungen bei der IP-Telefonie
  3. Quartalsbericht Telekom macht weiter keine genauen Angaben zu FTTH

Galaxy Note Edge im Hands On: Das erste Smartphone mit sinnvoll gebogenem Display
Galaxy Note Edge im Hands On
Das erste Smartphone mit sinnvoll gebogenem Display
  1. Phicomm Passion im Hands On Anständiges Full-HD-Smartphone mit 64-Bit-Prozessor
  2. Interview mit John Carmack "Gear VR ist das Tollste, was ich in 20 Jahren gemacht habe"
  3. Nokia Lumia 735 Das OLED-Weitwinkel-Selfie-Phone

    •  / 
    Zum Artikel