Kritisches Sicherheitsloch in PHP
PHP 4.2.2 enthält Patch für POST-Sicherheitslücke
Die Entwickler der Scriptsprache PHP haben jetzt über eine Sicherheitslücke in PHP informiert und zugleich mit PHP 4.2.2 eine neue Version vorgelegt, die Abhilfe schafft. Mit speziellen POST-Daten sollen sich IA32-Server zum Absturz bringen lassen. Bei anderen Architekturen bestünde unter Umständen sogar die Möglichkeit, Code auf fremden Servern auszuführen.
Betroffen sind laut PHP Group die Versionen 4.2.0 sowie 4.2.1 von PHP, die POST-Daten nicht ausreichend überprüfen, bevor sie diese weiterverarbeiten. So kann jeder, der POST-Daten an einen Webserver schicken kann, die Sicherheitslücke ausnutzen.
Bisher sei man sich nur sicher, dass es auf IA32-Systemen (Intel 32-Bit-Prozessoren) nicht möglich sei, über die Sicherheitslücke privilegierten Zugang zum System zu erhalten. Dennoch können auch hier entsprechend präparierte POST-Daten zum Absturz des Servers führen.
Die neue Version PHP 4.2.2 enthält einen entsprechenden Patch, der vor entsprechenden Angriffen schützt. Im Notfall können Systemadministratoren auch den Webserver so konfigurieren, dass dieser bereits alle POST-Requests abfängt.
