Sicherheitslücken in PHP

Angreifer können fremden Code einschleusen

Der IT-Sicherheitsexperte Stefan Esser warnt vor einer kritischen Sicherheitslücke in PHP. Betroffen sind sowohl PHP 4 als auch die Vorabversionen von PHP 5. Durch einen Fehler bei der Speicherbegrenzung (memory_limit) können Angreifer möglicherweise beliebigen Code auf fremden Systemen ausführen. Eine weitere Sicherheitslücke fand Esser, der selbst an der Entwicklung von PHP mitarbietet, in der Funktion "strip_tags()".

Artikel veröffentlicht am ,

Am 28. Juni wies Gregori Guninski auf eine mögliche Verwundbarkeit von Apache 2 hin, die DOS-Angriffe ermöglicht. Die als wenig riskant eingestufte Sicherheitslücke berge aber eine große Gefahr für Module von Drittanbietern, die Guninski nicht bedacht habe, so Esser.

Stellenmarkt
  1. Programmmanager (m/w/d) Lebensversicherung
    Württembergische Lebensversicherung AG, Stuttgart
  2. Abteilungsleitung IT-Services Informatiker/in oder Wirtschaftsinformatiker/in o. ä. (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn
Detailsuche

Vor diesem Hintergrund untersuchte Stefan Esser nun PHP in Bezug auf diese Problematik. Dabei fand Esser auch Wege, dieses Problem auf anderen Web-Servern wie Apache 1.3.31 auszunutzen. Im Zusammenspiel mit PHP bieten sich nun aber auch Möglichkeiten, auf diesem Wege fremden Code einzuschleusen und auszuführen. Zwar tritt das Problem nur in bestimmten Funktionen auf, die zum Teil nur in einigen wenigen Konstellationen ausnutzbar sind, doch darunter befindet sich unter anderem die Funktion register_globals(), die auf vielen PHP-Systemen aktiviert ist.

Die Sicherheitslücke sei auf nahezu allen Plattformen ausnutzbar, so Esser weiter. Dies schließt auch das von Esser entwickelte Hardened-PHP bis 0.1.2 mit ein. Auch sei es nicht notwendig, sehr große Datenmengen per POST zu senden, um das Speicherlimit zu erreichen.

Zudem entdeckte Esser eine Sicherheitslücke in der Funktion strip_tags(). Diese soll eigentlich dafür sorgen, gefährliche HTML-Tags aus Zeichenketten herauszufiltern und so zu verhindern, dass böse Zeitgenossen über Foren oder Gästebücher die Browser anderer Nutzer gefährden. Unter Umständen ist es aber dennoch möglich, Javascript in Browser wie den Internet Explorer oder Safari einzuschleusen.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    4.–5. November 2021, virtuell
  2. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
Weitere IT-Trainings

Die PHP-Entwickler haben auf die Sicherheitslücke bereits reagiert und mit PHP 4.3.8 eine neue Version von PHP 4 veröffentlicht. In PHP 5.0.0, das heute erschienen ist, wurde das Problem ebenfalls beseitigt. Betroffen sind hier nur die Vorabversionen bis einschließlich PHP 5.0.0 RC3. Wer PHP mit einkompilierter Unterstützung für "memory_limit" nutzt, sollte auf eine der neuen Versionen updaten. Als Workaround lässt sich auch die Funktion "memory_limit" in der Konfiguration abschalten, was aber keine wirkliche Sicherheit bringt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


lorb 08. Feb 2006

scheme

Enrique 15. Jul 2004

Ach ja Perl und Python, Kryptografie in Perfektion... (nicht das ich die PHP Syntax als...

Nok 14. Jul 2004

Nachdem in dem Update nicht viel neues enthalten ist, ist ein Update wohl nicht das...

DZY 14. Jul 2004

Hm. Im Endeffekt hests doch: Wer sich mit memory_limit selbst ein Bein stellt, der soll...

bewunder 14. Jul 2004

Anhimmel!



Aktuell auf der Startseite von Golem.de
Kickstarter
Die Pibox ist ein Mini-NAS mit Raspberry Pi

Auf Basis des Raspberry Pi CM 4 entsteht die Pibox. Mittels Carrier-Platinen können daran zwei 2,5-Zoll-Laufwerke angeschlossen werden.

Kickstarter: Die Pibox ist ein Mini-NAS mit Raspberry Pi
Artikel
  1. Neuer Firmenname: Aus Facebook wird Meta
    Neuer Firmenname
    Aus Facebook wird Meta

    Facebook-Chef Mark Zuckerberg hat den Namen der neuen Dachgesellschaft seiner Dienste genannt. Dieser lehnt sich stark an das geplante Metaversum an.

  2. S9U fürs Homeoffice: Samsung stellt 49-Zoll-Ultrawide-Monitor mit KVM-Switch vor
    S9U fürs Homeoffice
    Samsung stellt 49-Zoll-Ultrawide-Monitor mit KVM-Switch vor

    Der S9U ist Samsungs neuer 32:9-Bildschirm. Er integriert USB-C mit 90 Watt Power Delivery und einen KVM-Switch. Das Panel schafft 120 Hz.

  3. XTurismo: Fliegendes Jetski aus Japan für knapp 600.000 Euro
    XTurismo
    Fliegendes Jetski aus Japan für knapp 600.000 Euro

    Wo auch immer man sie fliegen dürfen wird, Multikopter für den Personentransport sind im Kommen. Dieses Flugobjekt stammt aus Japan.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • WD Black SN750 1TB 89,90€ • Acer 27" FHD 165Hz 191,59€ • PS5 Digital + 2. Dualsense + 100€-Amazon-Gutschein mit o2-Vertrag sofort lieferbar • Kingston 1TB PCIe 69,90€ • GTA Trilogy Definitive 59,99€ • Alternate-Deals (u. a. Apacer 960GB SATA 82,90€) [Werbung]
    •  /