Anzeige

PHPs open_basedir-Gefängnis ist nicht sicher

Hardened-PHP-Projekt weist auf Designfehler hin

Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Esser, der unter anderem Mitglied im Hardened-PHP-Projekt ist, spricht von einem Design-Fehler, der sich über PHPs symlink()-Funktion ausnutzen lässt. Derzeit sei der einzige Ausweg, die Nutzung von symlink() zu deaktivieren, so lange open_basedir genutzt wird.

Anzeige

Das eigentliche Problem lasse sich nicht ohne weiteres lösen, da es durch die Art und Weise, wie PHP mit dem Öffnen von Dateien und der Einbindung externer Funktionen umgeht, zu tun hat, so Esser. Dabei bleibt eine kurze Zeitspanne die genutzt werden kann, um die Einschränkungen zu umgehen.

Die Details des Problems beschreibt Stefan Esser in einem Security-Advisory: PHP open_basedir Race Condition Vulnerability.


eye home zur Startseite

Kommentieren



Anzeige

  1. Software Ingenieur (m/w) Embedded Systems (Antriebstechnik)
    YASKAWA Europe GmbH, Eschborn bei Frankfurt am Main
  2. Edi Specialist (m/w)
    MISUMI Europa GmbH, Schwalbach (Taunus)
  3. Projektmanager Einkauf/IT (m/w)
    Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  4. Test Analyst (m/w)
    MaibornWolff GmbH, München, Frankfurt am Main, Berlin

Detailsuche



Anzeige
Top-Angebote
  1. NEU: 4 Blu-rays für 30 EUR
    (u. a. Der große Gatsby, Mad Max, Black Mass, San Andreas)
  2. NUR FÜR KURZE ZEIT: Adobe Photoshop Elements & Premiere Elements 14 (PC/Mac)
    69,90€ inkl. Versand
  3. NEU: Blu-rays zum Sonderpreis

Weitere Angebote


Folgen Sie uns
       


  1. Gehalt.de

    Was Frauen in IT-Jobs verdienen

  2. Kurzstreckenflüge

    Lufthansa verspricht 15 MBit/s für jeden an Bord

  3. Anonymisierungsprojekt

    Darf ein Ex-Geheimdienstler für Tor arbeiten?

  4. Schalke 04

    Erst League of Legends und nun Fifa

  5. Patentverletzungen

    Qualcomm verklagt Meizu

  6. Deep Learning

    Algorithmus sagt menschliche Verhaltensweisen voraus

  7. Bungie

    Destiny-Karriere auf PS3 und Xbox 360 endet im August 2016

  8. Vive-Headset

    HTC muss sich auf Virtual Reality verlassen

  9. Mobilfunk

    Datenvolumen steigt während EM-Spiel um 25 Prozent

  10. Software Guard Extentions

    Linux-Code kann auf Intel-CPUs besser geschützt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smart City: Der Bürger gestaltet mit
Smart City
Der Bürger gestaltet mit
  1. Vernetztes Fahren Bosch will (fast) alle Parkplatzprobleme lösen

Vorratsdatenspeicherung: Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
Vorratsdatenspeicherung
Vorgaben übertreffen laut Eco "schlimmste Befürchtungen"
  1. Vorratsdatenspeicherung Alarm im VDS-Tresor
  2. Neue Snowden-Dokumente NSA lobte Deutschlands "wesentliche" Hilfe im Irak-Krieg
  3. Klage Verwaltungsgericht soll Vorratsdatenspeicherung stoppen

Rust: Ist die neue Programmiersprache besser?
Rust
Ist die neue Programmiersprache besser?
  1. Oracle-Anwältin nach Niederlage "Google hat die GPL getötet"
  2. Java-Rechtsstreit Oracle verliert gegen Google
  3. Oracle vs. Google Wie man Geschworene am besten verwirrt

  1. Re: es gibt KEINE Entgeldlücke in Deutschland

    Lord Gamma | 22:17

  2. Re: Frauen in der EDV ...

    sfe (Golem.de) | 22:17

  3. Hahaha China und...

    Niaxa | 22:16

  4. Ja und ?

    wire-less | 22:11

  5. Re: als Social Media Verweigerer

    Niaxa | 22:11


  1. 18:37

  2. 17:43

  3. 17:29

  4. 16:56

  5. 16:40

  6. 16:18

  7. 16:00

  8. 15:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel