Abo
  • Services:
Anzeige

PHP 5.2.1 schließt Sicherheitslücken

Stefan Esser ruft den "Month of PHP bugs" aus

Die PHP-Entwickler schließen mit PHP 5.2.1 einige Sicherheitslücken in der freien Scriptsprache. Zudem wurde die Stabilität verbessert. Derweil ruft Sicherheitsexperte Stefan Esser, der sich Ende 2006 aus dem PHP Security Response Team verabschiedete, für März den "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke in PHP veröffentlichen will.

In PHP 5.2.1 wurde unter anderem ein Fehler beseitigt, der es erlaubt, "safe_mode" und "open_basedir" innerhalb der Session-Erweiterung zu umgehen. Zudem sollen Suchmaschinen nun davon abgehalten werden, die phpinfo()-Seite zu indexieren. Zudem haben sich die Entwickler um mögliche Pufferüberläufe gekümmert, z.B. in der Session- und Zip-, IMAP- und SQLite-Erweiterung.

Anzeige

Die Zahl der Fixes ist lang, die meisten der Fehler seien aber nur lokal auszunutzen, heißt es in der Ankündigung von PHP 5.2.1. Einige können aber auch aus der Ferne genutzt werden. Daher raten die Entwickler dringend zu einem Update auf PHP 5.2.1. Für PHP 4.4 soll in Kürze ebenfalls ein entsprechendes Update mit der Version 4.4.5 folgen.

Die Informationspolitik des PHP-Teams in Sicherheitsfragen kritisiert derweil der Sicherheitsexperte Stefan Esser. Die Informationen der PHP-Entwickler zu den beseitigten Bugs seien wie üblich recht knapp, teilweise falsch und an manchen Stellen würden die entsprechenden Hinweise auch einfach fehlen. Zudem werde die Gefährlichkeit heruntergespielt.

Esser hat selbst zahlreiche Sicherheitslücken in PHP aufgedeckt und war bis Ende 2006 selbst im Rahmen des PHP Security Response Team an der Entwicklung von PHP beteiligt. In seinem aktuellen Blog-Eintrag gibt Esser einige Hinweise, warum er dem Projekt den Rücken kehrte: Es werde an keiner Stelle erwähnt, dass die entsprechenden Bugs von Dritten entdeckt wurden, was es für Sicherheitsexperten wenig attraktiv mache, sich an der Suche nach Sicherheitslücken in PHP zu beteiligen. Man habe mehr davon, Sicherheitslücken für sich selbst zu behalten oder an Dritte zu verkaufen, statt sie den Entwicklern zu melden.

Als Konsequenz daraus ruft Esser den März 2007 zum "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke veröffentlichen will. Dabei will er auch zeigen, dass die Heap-Sicherung in PHP 5.2.1 die Ausnutzung vieler Sicherheitslücken nicht verhindere - anders als der von ihm mitentwickelte Suhosin-Patch, mit dem sich PHP absichern lässt.


eye home zur Startseite
Lateinleera 12. Feb 2007

Dem Kodex nach müsste es Indifizieren heißen. *LOL*

johannhartmann 09. Feb 2007

Hi Ihr, Jepp, Stefan verkauft sich durch seine drastische Art manche Dinge zu bewerten...



Anzeige

Stellenmarkt
  1. Erwin Hymer Group AG & Co. KG, Bad Waldsee
  2. Personalexperten Riesner & Maritzen GbR, Karlsruhe
  3. Robert Bosch GmbH, Renningen
  4. ENERCON GmbH, Aurich


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)
  3. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)

Folgen Sie uns
       


  1. Desktop-Modi im Vergleich

    Fast ein PC für die Hosentasche

  2. Android 8.0

    Samsung verteilt Oreo-Upgrade wieder für Galaxy S8

  3. Bilanzpressekonferenz

    Telekom bestätigt Super-Vectoring für dieses Jahr

  4. Honorbuddy

    Bossland muss keine Millionen an Blizzard zahlen

  5. Soziale Netzwerke

    Twitter sperrt Tausende verdächtige Accounts

  6. Qualcomm

    802.11ax-WLAN kann bald in Smartphones kommen

  7. Synthesizer IIIp

    Moog legt Synthie-Klassiker für 35.000 US-Dollar wieder auf

  8. My Playstation

    Sony überarbeitet sein soziales PS-Ökosystem

  9. Android

    Samsung fehlt bei Googles Empfehlungen für Unternehmen

  10. Cat S61 im Hands on

    Smartphone kann Luftreinheit und Entfernungen messen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

  1. Wo ist da der Sinn?

    dabbes | 12:08

  2. Re: Kurzfristig...

    Azzuro | 12:07

  3. Re: Ach die haben einen Double Fine gemacht.

    mnementh | 12:04

  4. Re: und Kühlaggregat im Hochsommer?

    DeathMD | 12:03

  5. Re: nie in einem vertrag

    Niaxa | 12:02


  1. 12:07

  2. 12:05

  3. 12:01

  4. 11:50

  5. 11:44

  6. 11:29

  7. 11:14

  8. 10:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel