PHPs open_basedir-Gefängnis ist nicht sicher

Hardened-PHP-Projekt weist auf Designfehler hin

Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Anzeige

Esser, der unter anderem Mitglied im Hardened-PHP-Projekt ist, spricht von einem Design-Fehler, der sich über PHPs symlink()-Funktion ausnutzen lässt. Derzeit sei der einzige Ausweg, die Nutzung von symlink() zu deaktivieren, so lange open_basedir genutzt wird.

Das eigentliche Problem lasse sich nicht ohne weiteres lösen, da es durch die Art und Weise, wie PHP mit dem Öffnen von Dateien und der Einbindung externer Funktionen umgeht, zu tun hat, so Esser. Dabei bleibt eine kurze Zeitspanne die genutzt werden kann, um die Einschränkungen zu umgehen.

Die Details des Problems beschreibt Stefan Esser in einem Security-Advisory: PHP open_basedir Race Condition Vulnerability.

Kommentarübersicht

Kommentieren

Trackbacks

Entwickler Blog / 05. Okt 2006

open_basedir Sicherheitslücke in PHP

Anzeige
Stellenmarkt
  1. IT Manager (m/w)
    Seaarland Shipmanagement GmbH & Co. KG, Hamburg (Reisebereitschaft)
  2. Java-Entwickler (m/w) - Bereich ERP
    HALTEC Hallensysteme GmbH, Korntal-Münchingen
  3. Software Engineer (m/w)
    PTV Planung Transport Verkehr AG, Karlsruhe
  4. Java Web Developer Backend (SQLServer) im M-Commerce (m/w)
    über HRM CONSULTING GmbH, Berlin

 

Detailsuche

Folgen Sie uns
       
Videos
HP ProLiant Gen8 System Architecture Design HP ProLiant Gen8 System Architecture Design
Meistgelesen
  1. Radeon HD 7770 und 7750 im Test

    Die Grafikkarte mit 1 GHz für 159 Euro
  2. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben
  3. Nortel Networks

    Nortel war fast zehn Jahre lang gehackt
  4. Unity Technologies

    Bessere Grafik und KI mit Unity 3.5 verfügbar
  5. Abmahnabzocke

    Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 201 | letzter Beitrag 08:32 Uhr

  3. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 194 | letzter Beitrag 14.02. 13:50

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 117 | letzter Beitrag 14.02. 12:39

  5. Spielebranche: Diskussion über "stinkende Gamer"

    Kommentare: 101 | letzter Beitrag 02:39 Uhr

Mehr

Ticker
  1. Adobe

    Photoshop CS6 mit Content-Aware Move

  2. Google

    Wir haben den größten DNS-Dienst

  3. Lensbaby

    Teleobjektiv mit absichtlicher Unschärfe

  4. Smartphone-App

    Remove löscht störende Menschen im Bild

  5. Radeon HD 7770 und 7750 im Test

    Die Grafikkarte mit 1 GHz für 159 Euro

  6. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

  7. TZ77XE4

    Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

  8. Unity Technologies

    Bessere Grafik und KI mit Unity 3.5 verfügbar

  9. Fifa Street

    Last Man Standing auf dem Bolzplatz

  10. Isis Web Browser

    Neuer Browser für HPs WebOS

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

WOA - Windows on ARM
WOA: Windows 8 für ARM im Detail
WOA
Windows 8 für ARM im Detail

Mit Windows on ARM (WOA) will Microsoft ein neues System mit einer ganz neuen Art von PCs etablieren. Damit Windows 8 auf ARM performant läuft und lange Akkulaufzeiten ermöglicht, musste Microsoft einige Kompromisse machen.

  1. Windows 8 auf ARM Microsoft zeigt Office 15
Suchmaschine
Bing, Blekko, Duck Duck Go: Googeln ohne Google?
Bing, Blekko, Duck Duck Go
Googeln ohne Google?

Die überarbeitete Version der Google-Suche "Search, plus Your World" hat heftige Debatten ausgelöst. Vor allem der Datenschutz steht mal wieder im Vordergrund der Kritik. "Geht es eigentlich auch ohne Google?", fragen sich daher viele Nutzer. Der Blogger Marcel Weiß hat es 18 Monate lang getestet.

  1. "Focus on the User" Facebook und Twitter zeigen Google, wie soziale Suche geht
  2. Neuer Algorithmus Google straft Seiten mit zu viel Werbung ab
  3. Theseus-Projekt Quote soll die erste Zitate-Suchmaschine Deutschlands werden
PSVita
Test PS Vita: Ausstattungswunder mit Speicherproblem
Test PS Vita
Ausstattungswunder mit Speicherproblem

Zwei Analogsticks und starke Grafik, Berührungs- und Bewegungssteuerung, UMTS und Bluetooth: Sony Computer Entertainment packt in den Nachfolger der Playstation Portable so gut wie alles, was irgendwie Sinn ergibt - nur Speicher etwa für Savegames fehlt der PS Vita von Haus aus.

  1. Playstation Network Umbenennung der Konten und neue Firmware
Forumsbeiträge »
  1. Document Foundation Libreoffice 3.5 ist fertig

    Re: Oberfläche verschönern

    Mr. Stephe | 09:06

  2. Radeon HD 7770 und 7750 im Test Die Grafikkarte mit 1 GHz für 159 Euro

    sinnvoll, damit eine 4770 abzulösen?

    derKlaus | 09:05

  3. Linux-Handbuch Umfassendes Nachschlagewerk als Openbook erhältlich

    Re: Kostenlos oder nicht?

    rommudoh | 09:03

  4. Linux-Handbuch Umfassendes Nachschlagewerk als Openbook erhältlich

    Re: OpenBSD und Kritik

    rommudoh | 09:01

  5. Proview Technology Ausfuhrverbot soll Apple von iPad-Herstellern abschneiden

    am besten

    jajaja | 08:56

Ticker »
  1. Adobe Photoshop CS6 mit Content-Aware Move

    08:55

  2. Google Wir haben den größten DNS-Dienst

    08:33

  3. Lensbaby Teleobjektiv mit absichtlicher Unschärfe

    08:17

  4. Smartphone-App Remove löscht störende Menschen im Bild

    08:13

  5. Radeon HD 7770 und 7750 im Test Die Grafikkarte mit 1 GHz für 159 Euro

    06:01

  6. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    18:20

  7. TZ77XE4 Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

    18:13

  8. Unity Technologies Bessere Grafik und KI mit Unity 3.5 verfügbar

    17:41

Zum Artikel