Abo
  • Services:
Anzeige

PHPs open_basedir-Gefängnis ist nicht sicher

Hardened-PHP-Projekt weist auf Designfehler hin

Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Esser, der unter anderem Mitglied im Hardened-PHP-Projekt ist, spricht von einem Design-Fehler, der sich über PHPs symlink()-Funktion ausnutzen lässt. Derzeit sei der einzige Ausweg, die Nutzung von symlink() zu deaktivieren, so lange open_basedir genutzt wird.

Anzeige

Das eigentliche Problem lasse sich nicht ohne weiteres lösen, da es durch die Art und Weise, wie PHP mit dem Öffnen von Dateien und der Einbindung externer Funktionen umgeht, zu tun hat, so Esser. Dabei bleibt eine kurze Zeitspanne die genutzt werden kann, um die Einschränkungen zu umgehen.

Die Details des Problems beschreibt Stefan Esser in einem Security-Advisory: PHP open_basedir Race Condition Vulnerability.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Mannheim, Mannheim
  2. über Ratbacher GmbH, Raum Nürnberg
  3. Hornbach-Baumarkt-AG, Neustadt an der Weinstraße
  4. MED-EL Medical Electronics, Innsbruck


Anzeige
Blu-ray-Angebote
  1. (u. a. Forrest Gump 9,97€, Gods of Egypt 9,97€, Creed 8,99€, Cloud Atlas 8,94€)
  2. (u. a. Hobbit Trilogie Blu-ray 44,97€, Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Trappist-1

    Der Zwerg und die sieben Planeten

  2. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt

  3. Server

    IBM stellt Komplettsystem für kleine Unternehmen vor

  4. Einspeisegebühr

    Netzbetreiber darf nicht nur einzelne Sender abkassieren

  5. Ultra-HD mit Dolby Vision

    Erst Harry Potter, dann die Abspielgeräte

  6. Perspective

    Google hilft, Forentrolle zu erkennen

  7. Microsoft und Gemalto

    Windows 10 bekommt native eSIM-Unterstützung

  8. Mobilfunk

    Telefónica verschlechtert Prepaid-Tarife

  9. Amazon Echo und Echo Dot im Test

    Alexa, so wird das nichts!

  10. Petunia Tech

    Wisoccero spielt Fußball



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

Anet A6 im Test: Wenn ein 3D-Drucker so viel wie seine Teile kostet
Anet A6 im Test
Wenn ein 3D-Drucker so viel wie seine Teile kostet
  1. Bat Bot Die Fledermaus wird zum Roboter
  2. Kickstarter / NexD1 Betrugsvorwürfe gegen 3D-Drucker-Startup
  3. 3D-Druck Spanische Architekten drucken eine Brücke

LineageOS im Test: Das neue Cyanogenmod ist fast das alte Cyanogenmod
LineageOS im Test
Das neue Cyanogenmod ist fast das alte Cyanogenmod
  1. Ex-Cyanogenmod LineageOS startet mit den ersten fünf Smartphones
  2. Smartphone-OS Cyanogenmod ist tot, lang lebe Lineage

  1. Re: Hab mir das Ding als "Radio" geholt

    PedroKraft | 14:59

  2. Re: "Eigentlich ist sie sehr viel flexibler als...

    as (Golem.de) | 14:59

  3. Henne / Ei Problem

    ssj3rd | 14:59

  4. Re: Alternative Fakten?

    M.P. | 14:58

  5. Re: Wie laufen Bewerbungen heutzutage eigentlich ab?

    der_wahre_hannes | 14:58


  1. 14:19

  2. 13:48

  3. 13:30

  4. 13:18

  5. 13:11

  6. 13:01

  7. 12:56

  8. 12:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel