Abo
  • Services:
Anzeige

PHP 5.2.1 schließt Sicherheitslücken

Stefan Esser ruft den "Month of PHP bugs" aus

Die PHP-Entwickler schließen mit PHP 5.2.1 einige Sicherheitslücken in der freien Scriptsprache. Zudem wurde die Stabilität verbessert. Derweil ruft Sicherheitsexperte Stefan Esser, der sich Ende 2006 aus dem PHP Security Response Team verabschiedete, für März den "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke in PHP veröffentlichen will.

In PHP 5.2.1 wurde unter anderem ein Fehler beseitigt, der es erlaubt, "safe_mode" und "open_basedir" innerhalb der Session-Erweiterung zu umgehen. Zudem sollen Suchmaschinen nun davon abgehalten werden, die phpinfo()-Seite zu indexieren. Zudem haben sich die Entwickler um mögliche Pufferüberläufe gekümmert, z.B. in der Session- und Zip-, IMAP- und SQLite-Erweiterung.

Anzeige

Die Zahl der Fixes ist lang, die meisten der Fehler seien aber nur lokal auszunutzen, heißt es in der Ankündigung von PHP 5.2.1. Einige können aber auch aus der Ferne genutzt werden. Daher raten die Entwickler dringend zu einem Update auf PHP 5.2.1. Für PHP 4.4 soll in Kürze ebenfalls ein entsprechendes Update mit der Version 4.4.5 folgen.

Die Informationspolitik des PHP-Teams in Sicherheitsfragen kritisiert derweil der Sicherheitsexperte Stefan Esser. Die Informationen der PHP-Entwickler zu den beseitigten Bugs seien wie üblich recht knapp, teilweise falsch und an manchen Stellen würden die entsprechenden Hinweise auch einfach fehlen. Zudem werde die Gefährlichkeit heruntergespielt.

Esser hat selbst zahlreiche Sicherheitslücken in PHP aufgedeckt und war bis Ende 2006 selbst im Rahmen des PHP Security Response Team an der Entwicklung von PHP beteiligt. In seinem aktuellen Blog-Eintrag gibt Esser einige Hinweise, warum er dem Projekt den Rücken kehrte: Es werde an keiner Stelle erwähnt, dass die entsprechenden Bugs von Dritten entdeckt wurden, was es für Sicherheitsexperten wenig attraktiv mache, sich an der Suche nach Sicherheitslücken in PHP zu beteiligen. Man habe mehr davon, Sicherheitslücken für sich selbst zu behalten oder an Dritte zu verkaufen, statt sie den Entwicklern zu melden.

Als Konsequenz daraus ruft Esser den März 2007 zum "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke veröffentlichen will. Dabei will er auch zeigen, dass die Heap-Sicherung in PHP 5.2.1 die Ausnutzung vieler Sicherheitslücken nicht verhindere - anders als der von ihm mitentwickelte Suhosin-Patch, mit dem sich PHP absichern lässt.


eye home zur Startseite
Lateinleera 12. Feb 2007

Dem Kodex nach müsste es Indifizieren heißen. *LOL*

johannhartmann 09. Feb 2007

Hi Ihr, Jepp, Stefan verkauft sich durch seine drastische Art manche Dinge zu bewerten...



Anzeige

Stellenmarkt
  1. Endress+Hauser Flowtec AG, Reinach (Schweiz)
  2. LAUER-FISCHER ApothekenService GmbH, Wuppertal
  3. Daimler AG, Böblingen
  4. IBM Client Innovation Center Germany GmbH, Magdeburg


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Deutsche Telekom

    Weitere 39.000 Haushalte bekommen heute Vectoring

  2. Musikerkennungsdienst

    Apple erwirbt Shazam

  3. FTTH

    EWE senkt die Preise für seine Glasfaserzugänge

  4. WLAN

    Zahl der Vodafone-Hotspots steigt auf zwei Millionen

  5. Linux-Grafiktreiber

    Mesa 17.3 verbessert Vulkan- und Embedded-Treiber

  6. Gemini Lake

    Intel bringt Pentium Silver mit Gigabit-WLAN

  7. MG07ACA

    Toshiba packt neun Platter in seine erste 14-TByte-HDD

  8. Sysinternals-Werkzeug

    Microsoft stellt Procdump für Linux vor

  9. Forschungsförderung

    Medizin-Nobelpreisträger Rosbash kritisiert Trump

  10. Sicherheit

    Keylogger in HP-Notebooks gefunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. Re: Keine Lust auf schwere, komplexe Kämpfe?

    motzerator | 01:48

  2. Noch besser: Lysergsäure und ...

    Pjörn | 01:42

  3. Re: iPhone 4/4s mit IOS 5 schalten nie ganz ab!

    Pjörn | 01:29

  4. Nachtrag: TicketToGo und Touch & Travel

    Stepinsky | 01:11

  5. Re: Zielgerichtete Forschung benötigt keine...

    EdwardBlake | 01:02


  1. 19:10

  2. 18:55

  3. 17:21

  4. 15:57

  5. 15:20

  6. 15:00

  7. 14:46

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel