PHProjekt führt fremden Code aus

Neue Version 5.1.2 korrigiert den Fehler

In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausführen können. Eine neue Version steht bereits zum Download zur Verfügung, in der die Sicherheitslücke geschlossen wurde.

Artikel veröffentlicht am , Julius Stiebert

Laut der Sicherheitsmeldung überprüft die Groupware Pfadvariablen nicht, so dass diese sich überschreiben lassen. Dies ermöglicht es Angreifern, Skripte einzubinden und diese auszuführen. Diese Skripte können beispielsweise auch auf einem anderen Server liegen, werden dann aber im Rahmen der PHProjekt-Installation ausgeführt. Betroffen sind alle Versionen der Reihe 5.1.x, jedoch keine früheren.

Die Version 5.1.2 steht bereits zum Download zur Verfügung und die Entwickler empfehlen dringend ein Update. Ferner sollte laut Stefan Esser vom Hardened-PHP-Projekt, der den Fehler entdeckte, auch die Sicherheitserweiterung Suhosin installiert werden, die Angriffe dieser Art verhindert. Durch Änderungen am PHP-Kern soll sie auch Buffer Overflows und Ähnliches abfangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
CS GO mit Source 2
Das ist Valves Counter-Strike 2

Es ist offiziell: Valve stellt Counter-Strike 2 vor. Die Source-2-Engine bringt neues Gameplay und soll klassische Tickraten loswerden.

CS GO mit Source 2: Das ist Valves Counter-Strike 2
Artikel
  1. Akkutechnik: 4695-Akku schafft 40 Prozent mehr Reichweite als Tesla
    Akkutechnik
    4695-Akku schafft 40 Prozent mehr Reichweite als Tesla

    Mit herkömmlichen Fertigungsmethoden und nur 15 mm mehr Höhe baut Akkuhersteller EVE Zellen für BMW, die Teslas 4680 weit überlegen sind.

  2. Autodesign: Hyundai schwört auf physische Knöpfe und Regler
    Autodesign
    Hyundai schwört auf physische Knöpfe und Regler

    Bei Autos gibt es oft Soft-Touch-Buttons, um Kosten zu sparen, doch Hyundai findet das zu gefährlich und setzt weiter auf echte Knöpfe und Regler.

  3. Zoom, Teams, Jitsi: Videokonferenzsysteme datenschutzkonform nutzen
    Zoom, Teams, Jitsi
    Videokonferenzsysteme datenschutzkonform nutzen

    Datenschutz für Sysadmins Gerade die beliebten US-Anbieter sind bei Datenschutzbehörden gar nicht beliebt. Wir erläutern die Anforderungen an Videokonferenzsysteme.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Heute besonders viele MindStar-Tagesdeals • Gigabyte RTX 4070 Ti 880,56€ • Crucial SSD 2TB (PS5) 162,90€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Resident Evil 4 Remake 569€ • LG OLED TV -57% • Amazon Coupon-Party [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /