PHProjekt führt fremden Code aus

Neue Version 5.1.2 korrigiert den Fehler

In der freien Groupware PHProjekt ist ein Sicherheitsloch aufgetaucht, durch das Angreifer Skripte ausführen können. Eine neue Version steht bereits zum Download zur Verfügung, in der die Sicherheitslücke geschlossen wurde.

Artikel veröffentlicht am , Julius Stiebert

Laut der Sicherheitsmeldung überprüft die Groupware Pfadvariablen nicht, so dass diese sich überschreiben lassen. Dies ermöglicht es Angreifern, Skripte einzubinden und diese auszuführen. Diese Skripte können beispielsweise auch auf einem anderen Server liegen, werden dann aber im Rahmen der PHProjekt-Installation ausgeführt. Betroffen sind alle Versionen der Reihe 5.1.x, jedoch keine früheren.

Die Version 5.1.2 steht bereits zum Download zur Verfügung und die Entwickler empfehlen dringend ein Update. Ferner sollte laut Stefan Esser vom Hardened-PHP-Projekt, der den Fehler entdeckte, auch die Sicherheitserweiterung Suhosin installiert werden, die Angriffe dieser Art verhindert. Durch Änderungen am PHP-Kern soll sie auch Buffer Overflows und Ähnliches abfangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Trek: Enterprise
Mit Warp 5 zur vorzeitigen Absetzung

Vor 20 Jahren startete mit Enterprise die damals ungewöhnlichste Star-Trek-Serie. Das unrühmliche Ende nach vier Jahren erscheint heute unverdient.
Von Tobias Költzsch

Star Trek: Enterprise: Mit Warp 5 zur vorzeitigen Absetzung
Artikel
  1. Arosno E-Trace: E-Bike als Snowmobil mit Raupenantrieb
    Arosno E-Trace
    E-Bike als Snowmobil mit Raupenantrieb

    Fahrradfahren im Schnee: Mit dem Arosno-Schneemobil E-Trace ist das dank Raupenantrieb, Pedalen und E-Motor möglich.

  2. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

  3. Echte Controller: Nintendo erweitert Switch Online um N64 und Mega Drive
    Echte Controller
    Nintendo erweitert Switch Online um N64 und Mega Drive

    Ein kostenpflichtiges Upgrade für Nintendo Switch Online bringt Klassiker wie Mario Kart 64 und Ecco the Dolphin auf die Switch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /