Abo
  • Services:
Anzeige

PHP 5.2.1 schließt Sicherheitslücken

Stefan Esser ruft den "Month of PHP bugs" aus

Die PHP-Entwickler schließen mit PHP 5.2.1 einige Sicherheitslücken in der freien Scriptsprache. Zudem wurde die Stabilität verbessert. Derweil ruft Sicherheitsexperte Stefan Esser, der sich Ende 2006 aus dem PHP Security Response Team verabschiedete, für März den "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke in PHP veröffentlichen will.

In PHP 5.2.1 wurde unter anderem ein Fehler beseitigt, der es erlaubt, "safe_mode" und "open_basedir" innerhalb der Session-Erweiterung zu umgehen. Zudem sollen Suchmaschinen nun davon abgehalten werden, die phpinfo()-Seite zu indexieren. Zudem haben sich die Entwickler um mögliche Pufferüberläufe gekümmert, z.B. in der Session- und Zip-, IMAP- und SQLite-Erweiterung.

Anzeige

Die Zahl der Fixes ist lang, die meisten der Fehler seien aber nur lokal auszunutzen, heißt es in der Ankündigung von PHP 5.2.1. Einige können aber auch aus der Ferne genutzt werden. Daher raten die Entwickler dringend zu einem Update auf PHP 5.2.1. Für PHP 4.4 soll in Kürze ebenfalls ein entsprechendes Update mit der Version 4.4.5 folgen.

Die Informationspolitik des PHP-Teams in Sicherheitsfragen kritisiert derweil der Sicherheitsexperte Stefan Esser. Die Informationen der PHP-Entwickler zu den beseitigten Bugs seien wie üblich recht knapp, teilweise falsch und an manchen Stellen würden die entsprechenden Hinweise auch einfach fehlen. Zudem werde die Gefährlichkeit heruntergespielt.

Esser hat selbst zahlreiche Sicherheitslücken in PHP aufgedeckt und war bis Ende 2006 selbst im Rahmen des PHP Security Response Team an der Entwicklung von PHP beteiligt. In seinem aktuellen Blog-Eintrag gibt Esser einige Hinweise, warum er dem Projekt den Rücken kehrte: Es werde an keiner Stelle erwähnt, dass die entsprechenden Bugs von Dritten entdeckt wurden, was es für Sicherheitsexperten wenig attraktiv mache, sich an der Suche nach Sicherheitslücken in PHP zu beteiligen. Man habe mehr davon, Sicherheitslücken für sich selbst zu behalten oder an Dritte zu verkaufen, statt sie den Entwicklern zu melden.

Als Konsequenz daraus ruft Esser den März 2007 zum "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke veröffentlichen will. Dabei will er auch zeigen, dass die Heap-Sicherung in PHP 5.2.1 die Ausnutzung vieler Sicherheitslücken nicht verhindere - anders als der von ihm mitentwickelte Suhosin-Patch, mit dem sich PHP absichern lässt.


eye home zur Startseite
Lateinleera 12. Feb 2007

Dem Kodex nach müsste es Indifizieren heißen. *LOL*

johannhartmann 09. Feb 2007

Hi Ihr, Jepp, Stefan verkauft sich durch seine drastische Art manche Dinge zu bewerten...



Anzeige

Stellenmarkt
  1. ZytoService Deutschland GmbH, Hamburg
  2. Verve Consulting GmbH, Hamburg, Köln
  3. Bundeskriminalamt, Wiesbaden
  4. Dataport, Altenholz bei Kiel, Hamburg


Anzeige
Spiele-Angebote
  1. mit Gutscheincode PCGAMES17 nur 49,79€ statt 53,99€
  2. 16,99€
  3. (-46%) 26,99€

Folgen Sie uns
       


  1. Air-Berlin-Insolvenz

    Bundesbeamte müssen statt zu fliegen videotelefonieren

  2. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  3. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  4. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  5. Die Woche im Video

    Wegen Krack wie auf Crack!

  6. Windows 10

    Fall Creators Update macht Ryzen schneller

  7. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  8. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  9. Jaxa

    Japanische Forscher finden riesige Höhle im Mond

  10. Deep Descent

    Aquanox lädt in Tiefsee-Beta



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

  1. Re: Dalli Dalli

    theFiend | 16:20

  2. Re: Sehr Kompakte Beschreibung

    zuschauer | 16:19

  3. Re: Damit die staatlichen Fake News noch länger...

    theFiend | 16:17

  4. Warum Inhalte überhaupt depublizieren?

    constantin13 | 16:16

  5. Re: Bin vollauf positiv überrascht

    DY | 16:08


  1. 16:25

  2. 15:34

  3. 13:05

  4. 11:59

  5. 09:03

  6. 22:38

  7. 18:00

  8. 17:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel