Abo
  • Services:
Anzeige

Sicherheitslücken in PHP

Angreifer können fremden Code einschleusen

Der IT-Sicherheitsexperte Stefan Esser warnt vor einer kritischen Sicherheitslücke in PHP. Betroffen sind sowohl PHP 4 als auch die Vorabversionen von PHP 5. Durch einen Fehler bei der Speicherbegrenzung (memory_limit) können Angreifer möglicherweise beliebigen Code auf fremden Systemen ausführen. Eine weitere Sicherheitslücke fand Esser, der selbst an der Entwicklung von PHP mitarbietet, in der Funktion "strip_tags()".

Am 28. Juni wies Gregori Guninski auf eine mögliche Verwundbarkeit von Apache 2 hin, die DOS-Angriffe ermöglicht. Die als wenig riskant eingestufte Sicherheitslücke berge aber eine große Gefahr für Module von Drittanbietern, die Guninski nicht bedacht habe, so Esser.

Anzeige

Vor diesem Hintergrund untersuchte Stefan Esser nun PHP in Bezug auf diese Problematik. Dabei fand Esser auch Wege, dieses Problem auf anderen Web-Servern wie Apache 1.3.31 auszunutzen. Im Zusammenspiel mit PHP bieten sich nun aber auch Möglichkeiten, auf diesem Wege fremden Code einzuschleusen und auszuführen. Zwar tritt das Problem nur in bestimmten Funktionen auf, die zum Teil nur in einigen wenigen Konstellationen ausnutzbar sind, doch darunter befindet sich unter anderem die Funktion register_globals(), die auf vielen PHP-Systemen aktiviert ist.

Die Sicherheitslücke sei auf nahezu allen Plattformen ausnutzbar, so Esser weiter. Dies schließt auch das von Esser entwickelte Hardened-PHP bis 0.1.2 mit ein. Auch sei es nicht notwendig, sehr große Datenmengen per POST zu senden, um das Speicherlimit zu erreichen.

Zudem entdeckte Esser eine Sicherheitslücke in der Funktion strip_tags(). Diese soll eigentlich dafür sorgen, gefährliche HTML-Tags aus Zeichenketten herauszufiltern und so zu verhindern, dass böse Zeitgenossen über Foren oder Gästebücher die Browser anderer Nutzer gefährden. Unter Umständen ist es aber dennoch möglich, Javascript in Browser wie den Internet Explorer oder Safari einzuschleusen.

Die PHP-Entwickler haben auf die Sicherheitslücke bereits reagiert und mit PHP 4.3.8 eine neue Version von PHP 4 veröffentlicht. In PHP 5.0.0, das heute erschienen ist, wurde das Problem ebenfalls beseitigt. Betroffen sind hier nur die Vorabversionen bis einschließlich PHP 5.0.0 RC3. Wer PHP mit einkompilierter Unterstützung für "memory_limit" nutzt, sollte auf eine der neuen Versionen updaten. Als Workaround lässt sich auch die Funktion "memory_limit" in der Konfiguration abschalten, was aber keine wirkliche Sicherheit bringt.


eye home zur Startseite
lorb 08. Feb 2006

scheme

Enrique 15. Jul 2004

Ach ja Perl und Python, Kryptografie in Perfektion... (nicht das ich die PHP Syntax als...

Nok 14. Jul 2004

Nachdem in dem Update nicht viel neues enthalten ist, ist ein Update wohl nicht das...

DZY 14. Jul 2004

Hm. Im Endeffekt hests doch: Wer sich mit memory_limit selbst ein Bein stellt, der soll...

bewunder 14. Jul 2004

Anhimmel!



Anzeige

Stellenmarkt
  1. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)
  2. Deutsche Telekom AG, Bonn
  3. Isar Kliniken GmbH, München
  4. SmartRay GmbH, Wolfratshausen


Anzeige
Spiele-Angebote
  1. 57,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 20,00€
  3. 7,49€

Folgen Sie uns
       


  1. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  2. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  3. Raspberry Pi

    Raspbian auf Stretch upgedated

  4. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  5. Nvidia

    Keine Volta-basierten Geforces in 2017

  6. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  7. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  8. id Software

    Quake Champions startet in den Early Access

  9. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  10. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

Breitbandausbau auf Helgoland: Deutschlands Hochseefelsen bekommt nur Vectoring
Breitbandausbau auf Helgoland
Deutschlands Hochseefelsen bekommt nur Vectoring
  1. Provider Dreamhost will keine Daten von Trump-Gegnern herausgeben
  2. Home Sharing Airbnb wehrt sich gegen Vorwürfe zu Großanbietern
  3. Illegale Waffen Migrantenschreck gibt es wieder - jetzt als Betrug

Google Home auf Deutsch im Test: "Tut mir leid, ich verstehe das nicht"
Google Home auf Deutsch im Test
"Tut mir leid, ich verstehe das nicht"
  1. Kompatibilität mit Sprachassistenten Trådfri-Update kommt erst im Herbst
  2. Smarte Lampen Ikeas Trådfri wird kompatibel mit Echo, Home und Homekit
  3. Lautsprecher-Assistent Google Home ab 8. August 2017 in Deutschland erhältlich

  1. Re: Upgrade Prozedere

    sniner | 16:34

  2. Re: Warum ich die Golem Werbung blocke ..

    Topf | 16:32

  3. Re: Ich bin für die zwangsweise Verlegung der...

    ChMu | 16:21

  4. Re: Du liest die Quellenangaben nicht oder nur...

    jo-1 | 16:16

  5. Re: Das ist nicht die Aufgabe des Staates

    Niaxa | 16:08


  1. 14:38

  2. 12:42

  3. 11:59

  4. 11:21

  5. 17:56

  6. 16:20

  7. 15:30

  8. 15:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel