Abo
  • Services:
Anzeige

PHP 5.2.1 schließt Sicherheitslücken

Stefan Esser ruft den "Month of PHP bugs" aus

Die PHP-Entwickler schließen mit PHP 5.2.1 einige Sicherheitslücken in der freien Scriptsprache. Zudem wurde die Stabilität verbessert. Derweil ruft Sicherheitsexperte Stefan Esser, der sich Ende 2006 aus dem PHP Security Response Team verabschiedete, für März den "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke in PHP veröffentlichen will.

In PHP 5.2.1 wurde unter anderem ein Fehler beseitigt, der es erlaubt, "safe_mode" und "open_basedir" innerhalb der Session-Erweiterung zu umgehen. Zudem sollen Suchmaschinen nun davon abgehalten werden, die phpinfo()-Seite zu indexieren. Zudem haben sich die Entwickler um mögliche Pufferüberläufe gekümmert, z.B. in der Session- und Zip-, IMAP- und SQLite-Erweiterung.

Anzeige

Die Zahl der Fixes ist lang, die meisten der Fehler seien aber nur lokal auszunutzen, heißt es in der Ankündigung von PHP 5.2.1. Einige können aber auch aus der Ferne genutzt werden. Daher raten die Entwickler dringend zu einem Update auf PHP 5.2.1. Für PHP 4.4 soll in Kürze ebenfalls ein entsprechendes Update mit der Version 4.4.5 folgen.

Die Informationspolitik des PHP-Teams in Sicherheitsfragen kritisiert derweil der Sicherheitsexperte Stefan Esser. Die Informationen der PHP-Entwickler zu den beseitigten Bugs seien wie üblich recht knapp, teilweise falsch und an manchen Stellen würden die entsprechenden Hinweise auch einfach fehlen. Zudem werde die Gefährlichkeit heruntergespielt.

Esser hat selbst zahlreiche Sicherheitslücken in PHP aufgedeckt und war bis Ende 2006 selbst im Rahmen des PHP Security Response Team an der Entwicklung von PHP beteiligt. In seinem aktuellen Blog-Eintrag gibt Esser einige Hinweise, warum er dem Projekt den Rücken kehrte: Es werde an keiner Stelle erwähnt, dass die entsprechenden Bugs von Dritten entdeckt wurden, was es für Sicherheitsexperten wenig attraktiv mache, sich an der Suche nach Sicherheitslücken in PHP zu beteiligen. Man habe mehr davon, Sicherheitslücken für sich selbst zu behalten oder an Dritte zu verkaufen, statt sie den Entwicklern zu melden.

Als Konsequenz daraus ruft Esser den März 2007 zum "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke veröffentlichen will. Dabei will er auch zeigen, dass die Heap-Sicherung in PHP 5.2.1 die Ausnutzung vieler Sicherheitslücken nicht verhindere - anders als der von ihm mitentwickelte Suhosin-Patch, mit dem sich PHP absichern lässt.


eye home zur Startseite
Lateinleera 12. Feb 2007

Dem Kodex nach müsste es Indifizieren heißen. *LOL*

johannhartmann 09. Feb 2007

Hi Ihr, Jepp, Stefan verkauft sich durch seine drastische Art manche Dinge zu bewerten...



Anzeige

Stellenmarkt
  1. Schwarz Business IT GmbH & Co. KG, Neckarsulm
  2. T-Systems International GmbH, Netphen
  3. T-Systems International GmbH, München, Hamburg, Darmstadt, Bonn
  4. Bechtle GmbH IT-Systemhaus, Nürtingen


Anzeige
Spiele-Angebote
  1. 15,99€
  2. 8,99€
  3. 109,99€/119,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Mass Effect

    Bioware erklärt Arbeit an Kampagne von Andromeda für beendet

  2. Kitkat-Werbespot

    Atari verklagt Nestlé wegen angeblichem Breakout-Imitat

  3. Smarter Lautsprecher

    Google Home erhält Bluetooth-Zuspielung und Spotify Free

  4. Reverb

    Smartphone-App aktiviert Alexa auf Zuruf

  5. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  6. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  7. Raspberry Pi

    Raspbian auf Stretch upgedatet

  8. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  9. Nvidia

    Keine Volta-basierten Geforces in 2017

  10. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

  1. Re: 10-50MW

    superdachs | 19:24

  2. Du merkst, es ist Sommerlochzeit, wenn

    drdoolittle | 19:24

  3. Re: Schade um die gute Z-Linie. Schlechtes Marketing?

    werpu | 19:04

  4. Re: Es gibt einen grundsätzlichen Denkfehler bei...

    ArcherV | 18:53

  5. Re: Ach Bioware....

    sovereign | 18:52


  1. 13:33

  2. 13:01

  3. 12:32

  4. 11:50

  5. 14:38

  6. 12:42

  7. 11:59

  8. 11:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel