Abo
  • Services:
Anzeige

Sicherheitslücken in PHP

Angreifer können fremden Code einschleusen

Der IT-Sicherheitsexperte Stefan Esser warnt vor einer kritischen Sicherheitslücke in PHP. Betroffen sind sowohl PHP 4 als auch die Vorabversionen von PHP 5. Durch einen Fehler bei der Speicherbegrenzung (memory_limit) können Angreifer möglicherweise beliebigen Code auf fremden Systemen ausführen. Eine weitere Sicherheitslücke fand Esser, der selbst an der Entwicklung von PHP mitarbietet, in der Funktion "strip_tags()".

Am 28. Juni wies Gregori Guninski auf eine mögliche Verwundbarkeit von Apache 2 hin, die DOS-Angriffe ermöglicht. Die als wenig riskant eingestufte Sicherheitslücke berge aber eine große Gefahr für Module von Drittanbietern, die Guninski nicht bedacht habe, so Esser.

Anzeige

Vor diesem Hintergrund untersuchte Stefan Esser nun PHP in Bezug auf diese Problematik. Dabei fand Esser auch Wege, dieses Problem auf anderen Web-Servern wie Apache 1.3.31 auszunutzen. Im Zusammenspiel mit PHP bieten sich nun aber auch Möglichkeiten, auf diesem Wege fremden Code einzuschleusen und auszuführen. Zwar tritt das Problem nur in bestimmten Funktionen auf, die zum Teil nur in einigen wenigen Konstellationen ausnutzbar sind, doch darunter befindet sich unter anderem die Funktion register_globals(), die auf vielen PHP-Systemen aktiviert ist.

Die Sicherheitslücke sei auf nahezu allen Plattformen ausnutzbar, so Esser weiter. Dies schließt auch das von Esser entwickelte Hardened-PHP bis 0.1.2 mit ein. Auch sei es nicht notwendig, sehr große Datenmengen per POST zu senden, um das Speicherlimit zu erreichen.

Zudem entdeckte Esser eine Sicherheitslücke in der Funktion strip_tags(). Diese soll eigentlich dafür sorgen, gefährliche HTML-Tags aus Zeichenketten herauszufiltern und so zu verhindern, dass böse Zeitgenossen über Foren oder Gästebücher die Browser anderer Nutzer gefährden. Unter Umständen ist es aber dennoch möglich, Javascript in Browser wie den Internet Explorer oder Safari einzuschleusen.

Die PHP-Entwickler haben auf die Sicherheitslücke bereits reagiert und mit PHP 4.3.8 eine neue Version von PHP 4 veröffentlicht. In PHP 5.0.0, das heute erschienen ist, wurde das Problem ebenfalls beseitigt. Betroffen sind hier nur die Vorabversionen bis einschließlich PHP 5.0.0 RC3. Wer PHP mit einkompilierter Unterstützung für "memory_limit" nutzt, sollte auf eine der neuen Versionen updaten. Als Workaround lässt sich auch die Funktion "memory_limit" in der Konfiguration abschalten, was aber keine wirkliche Sicherheit bringt.


eye home zur Startseite
lorb 08. Feb 2006

scheme

Enrique 15. Jul 2004

Ach ja Perl und Python, Kryptografie in Perfektion... (nicht das ich die PHP Syntax als...

Nok 14. Jul 2004

Nachdem in dem Update nicht viel neues enthalten ist, ist ein Update wohl nicht das...

DZY 14. Jul 2004

Hm. Im Endeffekt hests doch: Wer sich mit memory_limit selbst ein Bein stellt, der soll...

bewunder 14. Jul 2004

Anhimmel!



Anzeige

Stellenmarkt
  1. HUK-COBURG Versicherungsgruppe, Coburg
  2. KOSTAL Gruppe, Dortmund
  3. ETAS GmbH & Co. KG, Stuttgart
  4. über Jobware Personalberatung, Düsseldorf


Anzeige
Hardware-Angebote
  1. 59,90€

Folgen Sie uns
       


  1. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  2. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  3. Bauern

    Deutlich über 80 Prozent wollen FTTH

  4. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  5. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On

  6. FTTH

    Bauern am Glasfaserpflug arbeiten mit Netzbetreibern

  7. BGP-Hijacking

    Traffic von Google, Facebook & Co. über Russland umgeleitet

  8. 360-Grad-Kameras im Vergleich

    Alles so schön rund hier

  9. Grundversorgung

    Telekom baut auch noch mit Kupfer aus

  10. Playerunknown's Battlegrounds

    Pubg-Schöpfer fordert besseren Schutz vor Klonen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

  1. Re: Öfters mal Skimaske tragen.

    User_x | 17:20

  2. Re: Die Amis brauchen nicht mal umleiten, NSA...

    buggy | 17:19

  3. Aber über die AAA Bürger ablästern...

    User_x | 17:18

  4. Re: Amazon Prime auf Chromecast

    jomei | 17:18

  5. Re: Der folgende Absatz gehört dick unterstrichen:

    Bigfoo29 | 17:18


  1. 16:17

  2. 15:50

  3. 15:25

  4. 15:04

  5. 14:22

  6. 13:00

  7. 12:41

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel