Kritisches Sicherheitsloch in PHP

PHP 4.2.2 enthält Patch für POST-Sicherheitslücke

Die Entwickler der Scriptsprache PHP haben jetzt über eine Sicherheitslücke in PHP informiert und zugleich mit PHP 4.2.2 eine neue Version vorgelegt, die Abhilfe schafft. Mit speziellen POST-Daten sollen sich IA32-Server zum Absturz bringen lassen. Bei anderen Architekturen bestünde unter Umständen sogar die Möglichkeit, Code auf fremden Servern auszuführen.

Artikel veröffentlicht am ,

Betroffen sind laut PHP Group die Versionen 4.2.0 sowie 4.2.1 von PHP, die POST-Daten nicht ausreichend überprüfen, bevor sie diese weiterverarbeiten. So kann jeder, der POST-Daten an einen Webserver schicken kann, die Sicherheitslücke ausnutzen.

Stellenmarkt
  1. Betriebswirtin / Wirtschaftsinformatikerin / Wirtschaftsingenieurin als SAP-Architektin (m/w/d)
    Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München
  2. IT-Application-Consultant/ER- P-Systembetreuer (m/w/d)
    HEINE Optotechnik GmbH & Co. KG, Gilching
Detailsuche

Bisher sei man sich nur sicher, dass es auf IA32-Systemen (Intel 32-Bit-Prozessoren) nicht möglich sei, über die Sicherheitslücke privilegierten Zugang zum System zu erhalten. Dennoch können auch hier entsprechend präparierte POST-Daten zum Absturz des Servers führen.

Die neue Version PHP 4.2.2 enthält einen entsprechenden Patch, der vor entsprechenden Angriffen schützt. Im Notfall können Systemadministratoren auch den Webserver so konfigurieren, dass dieser bereits alle POST-Requests abfängt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
"Macht mich einfach wahnsinnig"
Kelber beklagt digitale Inkompetenz von VW

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
Artikel
  1. Unikate: Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken
    Unikate
    Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken

    Die Deutsche Post begann im Februar 2021, Briefmarken mit Matrixcode zu verkaufen. Nun wurden bereits eine Milliarde Stück verkauft.

  2. Telemetrie: Voyager 1 weiß wohl nicht, wo sie ist
    Telemetrie
    Voyager 1 weiß wohl nicht, wo sie ist

    Seit 1977 befindet sich die Raumsonde Voyager 1 auf ihrer Reise durchs All. Die neusten Daten scheinen einen falschen Standort anzuzeigen.

  3. Agile Softwareentwicklung: Einfach mal so drauflos programmiert?
    Agile Softwareentwicklung
    Einfach mal so drauflos programmiert?

    Ohne Scrum wäre das nicht passiert, heißt es oft, wenn etwas schiefgeht. Dabei ist es umgekehrt: Ohne agiles Arbeiten geht es nicht mehr. Doch es gibt drei fundamentale Missverständnisse.
    Von Frank Heckel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /