Abo
  • Services:

Kritische Sicherheitslücken in PHP (Update 2)

Insgesamt sieben sicherheitskritische Fehler entdeckt

Stefan Esser von Hardened-PHP-Projekt weist auf sieben Sicherheitslücken in der freien Scriptsprache PHP hin, mit denen unter anderem beliebiger Code auf verwundbaren Systemen ausgeführt werden kann. Die neu erschienenen PHP-Versionen 4.3.10 und 5.0.3 beseitigen diese und fünf weitere Probleme.

Artikel veröffentlicht am ,

Esser hat die Sicherheitslücken bei der Arbeit an Hardened-PHP entdeckt, allerdings meldet auch Martin Eiszner von Sec-Consult für die kritischste der Lücke "Entdecker-Ansprüche" an. Esser weist den Vorwurf zurück, die von ihm entdeckten Sicherheitslücken hätten mit der von Eiszner entdeckten nichts zu tun, so Esser.

Stellenmarkt
  1. Frankfurter Sparkasse, Frankfurt am Main
  2. Hamburger Pensionsverwaltung e.G., Hamburg

Zwei Fehler in der Funktion unserialize() erlauben es, im Zusammenspiel mit speziell präparierten Strings beliebigen Code auf entsprechenden Systemen auszuführen. Zahlreiche PHP-Applikationen nutzen diese Funktion, um Cookie-Inhalte umzuwandeln, darunter unter anderem phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x., Serendipity und phpAds(New).

Weitere Fehler in pack() und unpack() können zu Integer-Overflows führen. Zwei weitere Fehler erlauben es, Sicherungsmechanismen des "Safe-Mode" von PHP zu umgehen. Das Abschneiden von Pfaden durch einige Implementierungen der Funktionen realpath() erlaubt es Angreifern unter Umständen, beliebige Dateien einzubinden.

Weitere Fehler finden sich in den Erweiterungen "shmop" und "exif" sowie der Funktionen php_addslashes() und in sehr seltenen Umständen bei Datei-Uploads. Hinzu kommt das Problem in unserialize() auf das Martin Eiszner hinweist.

Die Fehler sind in den PHP-Versionen 4.3.10 bzw. 5.0.3 beseitigt, die unter php.net zum Download bereitstehen.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

Beno 26. Dez 2004

Ein toller Admin bist du wenn du ein Forum mit der Ladezeit von knapp 2 Minuten betreiben...

fthecat 19. Dez 2004

Und jetzt ausnahmsweise mal die Wahrheit: Keiner der beiden Superhacker hat den Bug...

nico 17. Dez 2004

eventuell liegt es doch am schlecht geproggten forum und wehniger am php selbst

Der Admin 16. Dez 2004

...und mit den Sicherheitslücken leben. Toller Tip, danke!

Beno 16. Dez 2004

Ich muss leider sagen das die Performance der 2 neuen Versionen unter vBulletin...


Folgen Sie uns
       


Nerf Laser Ops Pro - Test

Hasbros neue Laser-Ops-Pro-Blaster verschießen Licht anstelle von Darts. Das tut weniger weh und macht trotzdem Spaß.

Nerf Laser Ops Pro - Test Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


      •  /