Kritische Sicherheitslücke in PHP

Fehler gefährdet zahlreiche PHP-Applikationen

PHP-Entwickler Stefan Esser hat bei den Arbeiten an seinem "Hardening-Patch" für PHP einige Sicherheitslücken in der freien Scriptsprache entdeckt. Darunter auch ein Problem beim Upload von Dateien, das Esser als kritisch einstuft.

Anzeige

Die Schwachstelle im Datei-Upload-Code erlaubt es, das Array "GLOBALS" zu überschreiben, wenn "register_globals" aktiviert ist. Dies könne zu unerwarteten Sicherheitsproblemen in PHP-Code führen, das an sich als sicher angesehen wird.

Esser befürchtet daher Konsequenzen für viele PHP-Applikationen, z.B. solche, die PEAR.php verwenden oder auch vBulletin. Es sei auch möglich, auf diesem Weg fremden Code auszuführen.

Die Problematik beschreibt Esser in einem Artikel. Das Problem wirkt sich laut Esser auch auf Applikationen aus, die das Einbetten lokaler Dateien erlauben und im Safe-Mode von PHP laufen.

Wer den Hardening-Patch für PHP einsetzt, soll auf der sicheren Seite sein, allen anderen legt Esser dringend ein Update auf die neu erschienene Version PHP 4.4.1 nahe. Für PHP 5 ist noch kein Update erschienen.

Neben diesem kritischen Problem weist Esser auf weitere Sicherheitslücken in der Funktion parse_str() und eine XSS-Lücke in der Funktion phpinfo() hin.


M*I*B 20. Nov 2005

AUA! Ist das hier ein Rechtschreibforum oder was? Bahhh. Immer diese Oberlehrer...

MB 02. Nov 2005

OScommerce verlangt das afaik auch noch...

daace 02. Nov 2005

Bei der aktuellen XAMPP-Version (1.4.16) funktioniert die Seite (vorausgesetzt du meinst...

Coder 01. Nov 2005

du hast aber NULL ahnung von PHP! sei lieber still!

Martin F. 01. Nov 2005

Standard!

Kommentieren


SchuKo.Net Weblog / 01. Nov 2005

PHP Update auf Version 4.4.1



Anzeige

  1. Gruppenleitung (m/w) SCADA Wind Power
    Siemens AG, Hamburg
  2. Teamleiter Web Development (m/w) Schwerpunkt Enterprise Applications & moderne Web Frameworks - Front- & Backend
    GIGATRONIK Stuttgart GmbH, Stuttgart
  3. IT Business Analyst (m/w)
    über HRM CONSULTING GmbH, Wiesbaden
  4. SAP Inhouse ABAP-Entwickler (m/w)
    Metabowerke GmbH, Nürtingen

 

Detailsuche


Blu-ray-Angebote
  1. 4 Blu-rays für 30 EUR
    (u. a. Grand Budapest Hotel, American History X, Heat, Sieben, Sherlock Holmes, Cloud Atlas)
  2. Akte X - Der Film/Jenseits der Wahrheit [Blu-ray]
    7,97€
  3. Dokumentationen zum Sonderpreis
    (u. a. Home, Wilde Inseln, Led Zeppelin)

 

Weitere Angebote


Folgen Sie uns
       


  1. Freedom Act

    US-Senat lehnt Gesetz zur NSA-Reform ab

  2. Die Woche im Video

    Pappe von Google, Fragen zur Überwachung und SSD im Test

  3. One Earth Message

    Bilder und Töne für Außerirdische

  4. Tropico 5

    Espionage mit El Presidente

  5. Tessel

    Offenes Entwicklerboard soll wie Io.js verwaltet werden

  6. Hack auf Datingplattform

    Sexuelle Vorlieben von Millionen Menschen veröffentlicht

  7. Angriff auf kritische Infrastrukturen

    Bundestag, bitte melden!

  8. Mark Shuttleworth

    Canonical erwägt offenbar Börsengang

  9. Amazon

    Fire TV Stick für 29 Euro

  10. Umfrage

    US-Bürger misstrauen Regierung beim Umgang mit Daten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

BND-Selektorenaffäre: Die stille Löschaktion des W. O.
BND-Selektorenaffäre
Die stille Löschaktion des W. O.
  1. BND-Chef Schindler "Wir sind abhängig von der NSA"
  2. BND-Metadatensuche "Die Nadel im Heuhaufen ist zerbrochen"
  3. NSA Streit um Selektoren-Liste zwischen Gabriel und Steinmeier

SSD HyperX Predator im Test: Kingstons Mischung ist gelungen
SSD HyperX Predator im Test
Kingstons Mischung ist gelungen
  1. Z-Drive 6300 Neue SSD bietet bis zu 6,4 TByte Speicherplatz
  2. Crucial BX100 und MX200 im Test Mehr SSD pro Euro gibt's derzeit nicht
  3. Plextor M6e Black Edition im Kurztest Auch eine günstige SSD kann teuer erkauft sein

  1. Re: Was bezwecken die kriminellen damit ?

    Moe479 | 12:16

  2. Re: glaubt kein Wort davon

    flasher395 | 12:14

  3. Re: Shuttleworth macht den Exit

    non_sense | 12:11

  4. Re: Sollen wir wirklich auf uns aufmerksam machen?

    Bruce Wayne | 12:07

  5. Dreht der USA endlich den Rücken zu!

    maverick1977 | 12:05


  1. 11:46

  2. 09:01

  3. 18:43

  4. 15:32

  5. 15:26

  6. 15:09

  7. 14:21

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel