PHProjekt führt fremden Code aus

Neue Version 5.1.2 korrigiert den Fehler. In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausführen können. Eine neue Version steht bereits zum Download zur Verfügung, in der die Sicherheitslücke geschlossen wurde.

29. September 2006 um 16:56 Uhr / Julius Stiebert

9 Kommentare News folgen (öffnet im neuen Fenster)

Laut der Sicherheitsmeldung(öffnet im neuen Fenster) überprüft die Groupware Pfadvariablen nicht, so dass diese sich überschreiben lassen. Dies ermöglicht es Angreifern, Skripte einzubinden und diese auszuführen. Diese Skripte können beispielsweise auch auf einem anderen Server liegen, werden dann aber im Rahmen der PHProjekt-Installation ausgeführt. Betroffen sind alle Versionen der Reihe 5.1.x, jedoch keine früheren.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Softwareentwickler*in im Projekt „Aufbau eines Netzwerkes und Services zu Forschungsinformationen (FIS)“ Leuphana Universität Lüneburg, Lüneburg (öffnet im neuen Fenster)

Netzwerkspezialisten (m/w/d) Max Planck Computing and Data Facility, Garching bei München (öffnet im neuen Fenster)

Systementwickler Dokumentenmanagement & Basiskomponenten (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Teamleiter*in Softwareentwicklung / Systemintegration (m/w/div) Deutsche Rentenversicherung Bund, Berlin (öffnet im neuen Fenster)

Java Developer (m/w/d) - Konstanz oder remote SEITENBAU GmbH, Konstanz (öffnet im neuen Fenster)

Teamleitung Produktdatenmanagement (m/w/d) FC-Moto GmbH & Co. KG, Aachen (öffnet im neuen Fenster)

Dual Studierender (m/w/d) - Digitalisierungsmanagement (Bachelor of Arts) SWE Netz GmbH, Gera (öffnet im neuen Fenster)

E-Commerce Manager (m/w/d) Onlinehandel für Handwerksbedarf & Bauprodukte WULFF GmbH u. Co. KG, Lotte (öffnet im neuen Fenster)

Die Version 5.1.2 steht bereits zum Download(öffnet im neuen Fenster) zur Verfügung und die Entwickler empfehlen dringend ein Update. Ferner sollte laut Stefan Esser vom Hardened-PHP-Projekt, der den Fehler entdeckte, auch die Sicherheitserweiterung Suhosin(öffnet im neuen Fenster) installiert werden, die Angriffe dieser Art verhindert. Durch Änderungen am PHP-Kern soll sie auch Buffer Overflows und Ähnliches abfangen.

Zur Startseite 9 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Freie Groupware PHProjekt 5.0 erschienen

Neue Version von PHProjekt verspricht Barrierefreiheit. Wie angekündigt hat Mayflower auf dem LinuxTag in Karlsruhe die Version 5.0 seiner Open-Source-Groupware PHProjekt vorgestellt. Bei PHProjekt 5.0 steht vor allem die Barrierefreiheit im Vordergrund, aber auch die Skalierbarkeit und Geschwindigkeit der Software wurde verbessert.

Relevante Themen