• IT-Karriere:
  • Services:

PHPs open_basedir-Gefängnis ist nicht sicher

Hardened-PHP-Projekt weist auf Designfehler hin

Stefan Esser warnt vor einem Fehler in der Scriptsprache PHP, mit der Nutzer auf Shared-Webhosting-Accounts aus ihrem "Verzeichnis-Gefängnis" ausbrechen können. Eigentlich soll über die Einstellung "open_basedir" verhindert werden, dass Nutzer auf solchen Maschinen außerhalb des ihnen zugedachten Verzeichnisses Dateien lesen und schreiben können, doch offenbar gibt es einen einfachen Weg dies zu umgehen.

Artikel veröffentlicht am ,

Esser, der unter anderem Mitglied im Hardened-PHP-Projekt ist, spricht von einem Design-Fehler, der sich über PHPs symlink()-Funktion ausnutzen lässt. Derzeit sei der einzige Ausweg, die Nutzung von symlink() zu deaktivieren, so lange open_basedir genutzt wird.

Stellenmarkt
  1. Greenpeace e.V., Hamburg
  2. Schwäbische Werkzeugmaschinen GmbH, Schramberg-Waldmössingen

Das eigentliche Problem lasse sich nicht ohne weiteres lösen, da es durch die Art und Weise, wie PHP mit dem Öffnen von Dateien und der Einbindung externer Funktionen umgeht, zu tun hat, so Esser. Dabei bleibt eine kurze Zeitspanne die genutzt werden kann, um die Einschränkungen zu umgehen.

Die Details des Problems beschreibt Stefan Esser in einem Security-Advisory: PHP open_basedir Race Condition Vulnerability.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Asus Vivobook A705QA (17,3 Zoll) für 449€, Lenovo Chromebook C340 (11,6 Zoll) für 279€)
  2. 239,00€ statt 349,00€ (bei beyerdynamic.de)
  3. (u. a. Samsung GQ55Q90RGTXZG QLED für 1.509€, Samsung UE82RU8009 (82 Zoll, 207 cm) für 1...
  4. (Blu-ray 99,99€, 4K UHD 199,99€)

Folgen Sie uns
       


Magenta-TV-Stick der Deutschen Telekom - Test

Der Magenta-TV-Stick befindet sich noch im Betatest, so dass einige Funktionen noch fehlen und später nachgereicht werden. Der Stick läuft mit einer angepassten Version von Android TV. Bei Magenta TV selbst sehen wir noch viel Verbesserungsbedarf.

Magenta-TV-Stick der Deutschen Telekom - Test Video aufrufen
Frauen in der Technik: Von wegen keine Vorbilder!
Frauen in der Technik
Von wegen keine Vorbilder!

Technik, also auch Computertechnik, war schon immer ein männlich dominiertes Feld. Das heißt aber nicht, dass es in der Geschichte keine bedeutenden Programmiererinnen gab. Besonders das Militär zeigte reges Interesse an den Fähigkeiten von Frauen.
Von Valerie Lux

  1. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer
  2. Männer und Frauen in der IT Gibt es wirklich Chancengleichheit in Deutschland?
  3. HR-Analytics Weshalb Mitarbeiter kündigen

Geforce Now im Test: Nvidia nutzt einzigartige CPU und GPU
Geforce Now im Test
Nvidia nutzt einzigartige CPU und GPU

Wer mit Nvidias Geforce Now spielt, bekommt laut Performance Overlay eine RTX 2060c oder RTX 2080c, tatsächlich aber werden eine Tesla RTX T10 als Grafikkarte und ein Intel CC150 als Prozessor verwendet. Die Performance ist auf die jeweiligen Spiele abgestimmt, vor allem mit Raytracing.
Ein Test von Marc Sauter

  1. Cloud Gaming Activision Blizzard zieht Spiele von Geforce Now zurück
  2. Nvidia-Spiele-Streaming Geforce Now kostet 5,49 Euro pro Monat
  3. Geforce Now Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  2. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  3. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig

    •  /