Anzeige

Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Anzeige

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.


M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

MB 02. Nov 2005

OScommerce verlangt das afaik auch noch...

daace 02. Nov 2005

Bei der aktuellen XAMPP-Version (1.4.16) funktioniert die Seite (vorausgesetzt du meinst...

Coder 01. Nov 2005

du hast aber NULL ahnung von PHP! sei lieber still!

Martin F. 01. Nov 2005

Standard!

Kommentieren


SchuKo.Net Weblog / 01. Nov 2005

PHP Update auf Version 4.4.1



Anzeige

  1. Webentwickler ASP.NET4 (m/w)
    T-Systems on site services GmbH, Wilhelmshaven
  2. Business Consultant / Project Manager (m/w) - Connected Mobility (Fleet Soloutions)
    Bosch Software Innovations GmbH, Waiblingen bei Stuttgart
  3. Senior Java-Entwickler (m/w)
    SoftProject GmbH, Ettlingen
  4. IT-Anwendungsbetreuer SAP FI/CO (m/w)
    SICK AG, Waldkirch bei Freiburg im Breisgau

Detailsuche


Blu-ray-Angebote
  1. Erste Folge beliebter Serien gratis anschauen
    (u. a. Gotham, Arrow, Girls, Boardwalk Empire, Chicago Fire)
  2. Oscar-Filme zum Sonderpreis
    (u. a. Grand Budapest Hotel 7,90€, Birdman 9,90€, 12 Years a Slave 9,97€)
  3. NEU: Sherlock - Staffel 3 [Blu-ray] [Special Edition]
    16,97€

Weitere Angebote


Folgen Sie uns
       


  1. Umbau

    Die Mediencenter Cloud der Telekom ist offline

  2. Fertigungstechnik

    Globalfoundries baut Forschungszentrum für EUV-Lithographie

  3. Gehackte Finanzinstitute

    Kriminelle greifen die Infrastruktur von Banken an

  4. Streaming

    Mobiler Datentraffic steigt um das Siebenfache

  5. Recht auf Vergessenwerden

    Google sperrt Links für alle europäischen Nutzer

  6. Abodienst

    Humble Bundle finanziert neue Indiegames

  7. 28HPCU-Fertigung

    ARM und UMC machen Smartphone-Chips günstiger

  8. Poseidon-Gruppe

    Über ein Jahrzehnt internationale Cyberattacken

  9. EU-Datenschützer

    Ein langer böser Brief an Facebook

  10. Graphite-Bibliothek

    Wenn Schriftarten zur Sicherheitslücke werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Time Lab: Großes Kino
Time Lab
Großes Kino
  1. Forscher des IIS Sensoren am Körper bald ganz selbstverständlich
  2. Arbeitsschutz Deutscher Roboter schlägt absichtlich Menschen

Lockdown befürchtet: Die EU verbietet freie Router-Software - oder doch nicht?
Lockdown befürchtet
Die EU verbietet freie Router-Software - oder doch nicht?
  1. Captive Portals Ein Workaround, der bald nicht mehr funktionieren wird
  2. Die Woche im Video Mensch verliert gegen Maschine und iPhone verliert Wachstum
  3. WLAN-Störerhaftung Freifunker machen gegen Vorschaltseite mobil

Time Machine VR angespielt: Wir tauchen mit den Monstern der Tiefe
Time Machine VR angespielt
Wir tauchen mit den Monstern der Tiefe
  1. Unreal Engine4 Epic baut virtuelle Welt in virtueller Welt
  2. Unmandelboxing Markus Persson fliegt durch VR-Fraktaltunnel
  3. Spectrevision Elijah Wood macht Horror-VR mit Ubisoft

  1. Re: ist dich klar, das der traffic steigt

    sofries | 01:37

  2. Re: Apple hätte es zuerst bringen müssen,

    sofries | 01:32

  3. Re: Datenschützer

    Simon Brodtmann | 01:05

  4. Re: GNOME 3 ist toll, die Anwendungs-"Updates...

    Vanger | 00:59

  5. Re: Die gelbe Gefahr

    x2k | 00:51


  1. 18:25

  2. 17:27

  3. 17:24

  4. 17:14

  5. 16:51

  6. 16:23

  7. 15:54

  8. 15:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel