• IT-Karriere:
  • Services:

Kritische Sicherheitslücken in PHP (Update 2)

Insgesamt sieben sicherheitskritische Fehler entdeckt

Stefan Esser von Hardened-PHP-Projekt weist auf sieben Sicherheitslücken in der freien Scriptsprache PHP hin, mit denen unter anderem beliebiger Code auf verwundbaren Systemen ausgeführt werden kann. Die neu erschienenen PHP-Versionen 4.3.10 und 5.0.3 beseitigen diese und fünf weitere Probleme.

Artikel veröffentlicht am ,

Esser hat die Sicherheitslücken bei der Arbeit an Hardened-PHP entdeckt, allerdings meldet auch Martin Eiszner von Sec-Consult für die kritischste der Lücke "Entdecker-Ansprüche" an. Esser weist den Vorwurf zurück, die von ihm entdeckten Sicherheitslücken hätten mit der von Eiszner entdeckten nichts zu tun, so Esser.

Stellenmarkt
  1. Quentic GmbH, Berlin
  2. über vietenplus, Rheinland

Zwei Fehler in der Funktion unserialize() erlauben es, im Zusammenspiel mit speziell präparierten Strings beliebigen Code auf entsprechenden Systemen auszuführen. Zahlreiche PHP-Applikationen nutzen diese Funktion, um Cookie-Inhalte umzuwandeln, darunter unter anderem phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x., Serendipity und phpAds(New).

Weitere Fehler in pack() und unpack() können zu Integer-Overflows führen. Zwei weitere Fehler erlauben es, Sicherungsmechanismen des "Safe-Mode" von PHP zu umgehen. Das Abschneiden von Pfaden durch einige Implementierungen der Funktionen realpath() erlaubt es Angreifern unter Umständen, beliebige Dateien einzubinden.

Weitere Fehler finden sich in den Erweiterungen "shmop" und "exif" sowie der Funktionen php_addslashes() und in sehr seltenen Umständen bei Datei-Uploads. Hinzu kommt das Problem in unserialize() auf das Martin Eiszner hinweist.

Die Fehler sind in den PHP-Versionen 4.3.10 bzw. 5.0.3 beseitigt, die unter php.net zum Download bereitstehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. HP Pavilion 32 Zoll Monitor für 229,00€, Steelseries Arctis Pro wireless Headset für 279...
  2. ab 62,99€
  3. (aktuell u. a. HyperX Alloy Elite RGB Tastatur für 109,90€, Netgear EX7700 Nighthawk X6 Repeater)

Beno 26. Dez 2004

Ein toller Admin bist du wenn du ein Forum mit der Ladezeit von knapp 2 Minuten betreiben...

fthecat 19. Dez 2004

Und jetzt ausnahmsweise mal die Wahrheit: Keiner der beiden Superhacker hat den Bug...

nico 17. Dez 2004

eventuell liegt es doch am schlecht geproggten forum und wehniger am php selbst

Der Admin 16. Dez 2004

...und mit den Sicherheitslücken leben. Toller Tip, danke!

Beno 16. Dez 2004

Ich muss leider sagen das die Performance der 2 neuen Versionen unter vBulletin...


Folgen Sie uns
       


Tolino Vision 5 HD und Epos 2 im Hands On

Tolino zeigt mit Vision 5 HD und Epos 2 zwei neue Oberklasse-E-Book-Reader. Der Epos 2 kann durch ein besonders dünnes Display begeistern.

Tolino Vision 5 HD und Epos 2 im Hands On Video aufrufen
Handelskrieg: Zartbittere Zeiten für Chinas Technikbranche
Handelskrieg
Zartbittere Zeiten für Chinas Technikbranche

"Bitterkeit essen" heißt es in China, wenn schlechte Zeiten überstanden werden müssen. Doch so schlimm wie Donald Trump es darstellt, wird der Handelskrieg mit den USA für Chinas Technikbranche wohl nicht werden.
Eine Analyse von Finn Mayer-Kuckuk

  1. Smarter Türöffner Nello One soll weiter nutzbar sein
  2. Bonaverde Berliner Kaffee-Startup meldet Insolvenz an
  3. Unitymedia Vodafone plant großen Stellenabbau in Deutschland

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


    Mi Note 10 im Hands on: Fünf Kameras, die sich lohnen
    Mi Note 10 im Hands on
    Fünf Kameras, die sich lohnen

    Mit dem Mi Note 10 versucht Xiaomi, der Variabilität von Huaweis Vierfachkameras noch eins draufzusetzen - mit Erfolg: Die Fünffachkamera bietet in fast jeder Situation ein passendes Objektiv, auch die Bildqualität kann sich sehen lassen. Der Preis dafür ist ein recht hohes Gewicht.
    Ein Hands on von Tobias Költzsch

    1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
    2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
    3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

      •  /