Abo
  • Services:
Anzeige

Kritische Sicherheitslücken in PHP (Update 2)

Insgesamt sieben sicherheitskritische Fehler entdeckt

Stefan Esser von Hardened-PHP-Projekt weist auf sieben Sicherheitslücken in der freien Scriptsprache PHP hin, mit denen unter anderem beliebiger Code auf verwundbaren Systemen ausgeführt werden kann. Die neu erschienenen PHP-Versionen 4.3.10 und 5.0.3 beseitigen diese und fünf weitere Probleme.

Esser hat die Sicherheitslücken bei der Arbeit an Hardened-PHP entdeckt, allerdings meldet auch Martin Eiszner von Sec-Consult für die kritischste der Lücke "Entdecker-Ansprüche" an. Esser weist den Vorwurf zurück, die von ihm entdeckten Sicherheitslücken hätten mit der von Eiszner entdeckten nichts zu tun, so Esser.

Anzeige

Zwei Fehler in der Funktion unserialize() erlauben es, im Zusammenspiel mit speziell präparierten Strings beliebigen Code auf entsprechenden Systemen auszuführen. Zahlreiche PHP-Applikationen nutzen diese Funktion, um Cookie-Inhalte umzuwandeln, darunter unter anderem phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x., Serendipity und phpAds(New).

Weitere Fehler in pack() und unpack() können zu Integer-Overflows führen. Zwei weitere Fehler erlauben es, Sicherungsmechanismen des "Safe-Mode" von PHP zu umgehen. Das Abschneiden von Pfaden durch einige Implementierungen der Funktionen realpath() erlaubt es Angreifern unter Umständen, beliebige Dateien einzubinden.

Weitere Fehler finden sich in den Erweiterungen "shmop" und "exif" sowie der Funktionen php_addslashes() und in sehr seltenen Umständen bei Datei-Uploads. Hinzu kommt das Problem in unserialize() auf das Martin Eiszner hinweist.

Die Fehler sind in den PHP-Versionen 4.3.10 bzw. 5.0.3 beseitigt, die unter php.net zum Download bereitstehen.


eye home zur Startseite
Beno 26. Dez 2004

Ein toller Admin bist du wenn du ein Forum mit der Ladezeit von knapp 2 Minuten betreiben...

fthecat 19. Dez 2004

Und jetzt ausnahmsweise mal die Wahrheit: Keiner der beiden Superhacker hat den Bug...

nico 17. Dez 2004

eventuell liegt es doch am schlecht geproggten forum und wehniger am php selbst

Der Admin 16. Dez 2004

...und mit den Sicherheitslücken leben. Toller Tip, danke!

Beno 16. Dez 2004

Ich muss leider sagen das die Performance der 2 neuen Versionen unter vBulletin...


SchuKo.Net Weblog / 16. Dez 2004

SchuKo.Net Weblog / 16. Dez 2004



Anzeige

Stellenmarkt
  1. Siemens Postal, Parcel & Airport Logistics GmbH, Düsseldorf
  2. PHOENIX CONTACT Software GmbH, Lemgo
  3. BG-Phoenics GmbH, Hannover
  4. über Hays AG, München


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 79,98€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Smartphone Neues Oneplus 5T kostet weiterhin 500 Euro
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

Xbox One X im Test: Schöner, schwerer Stromfresser
Xbox One X im Test
Schöner, schwerer Stromfresser
  1. Microsoft Xbox-Software und -Services wachsen um 21 Prozent
  2. Microsoft Xbox One emuliert 13 Xbox-Klassiker
  3. Microsoft Neue Firmware für Xbox One bietet mehr Übersicht

Doom-Brettspiel-Neuauflage im Test: Action am Wohnzimmertisch
Doom-Brettspiel-Neuauflage im Test
Action am Wohnzimmertisch
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Gamedesign Der letzte Lebenspunkt hält länger

  1. Mozilla ist wie AMD

    Gromran | 22:28

  2. Re: Bei PHP ..

    Gromran | 22:25

  3. Re: OT: Addons

    Bendix | 22:22

  4. Re: Nicht für den Straßenverkehr

    tingelchen | 21:33

  5. Re: Weshalb ist es nicht so.....

    Theoretiker | 21:23


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel