PHP 5.2.1 schließt Sicherheitslücken

Stefan Esser ruft den "Month of PHP bugs" aus

Die PHP-Entwickler schließen mit PHP 5.2.1 einige Sicherheitslücken in der freien Scriptsprache. Zudem wurde die Stabilität verbessert. Derweil ruft Sicherheitsexperte Stefan Esser, der sich Ende 2006 aus dem PHP Security Response Team verabschiedete, für März den "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke in PHP veröffentlichen will.

Artikel veröffentlicht am ,

In PHP 5.2.1 wurde unter anderem ein Fehler beseitigt, der es erlaubt, "safe_mode" und "open_basedir" innerhalb der Session-Erweiterung zu umgehen. Zudem sollen Suchmaschinen nun davon abgehalten werden, die phpinfo()-Seite zu indexieren. Zudem haben sich die Entwickler um mögliche Pufferüberläufe gekümmert, z.B. in der Session- und Zip-, IMAP- und SQLite-Erweiterung.

Die Zahl der Fixes ist lang, die meisten der Fehler seien aber nur lokal auszunutzen, heißt es in der Ankündigung von PHP 5.2.1. Einige können aber auch aus der Ferne genutzt werden. Daher raten die Entwickler dringend zu einem Update auf PHP 5.2.1. Für PHP 4.4 soll in Kürze ebenfalls ein entsprechendes Update mit der Version 4.4.5 folgen.

Die Informationspolitik des PHP-Teams in Sicherheitsfragen kritisiert derweil der Sicherheitsexperte Stefan Esser. Die Informationen der PHP-Entwickler zu den beseitigten Bugs seien wie üblich recht knapp, teilweise falsch und an manchen Stellen würden die entsprechenden Hinweise auch einfach fehlen. Zudem werde die Gefährlichkeit heruntergespielt.

Esser hat selbst zahlreiche Sicherheitslücken in PHP aufgedeckt und war bis Ende 2006 selbst im Rahmen des PHP Security Response Team an der Entwicklung von PHP beteiligt. In seinem aktuellen Blog-Eintrag gibt Esser einige Hinweise, warum er dem Projekt den Rücken kehrte: Es werde an keiner Stelle erwähnt, dass die entsprechenden Bugs von Dritten entdeckt wurden, was es für Sicherheitsexperten wenig attraktiv mache, sich an der Suche nach Sicherheitslücken in PHP zu beteiligen. Man habe mehr davon, Sicherheitslücken für sich selbst zu behalten oder an Dritte zu verkaufen, statt sie den Entwicklern zu melden.

Als Konsequenz daraus ruft Esser den März 2007 zum "Month of PHP bugs" aus, in dem er jeden Tag eine Sicherheitslücke veröffentlichen will. Dabei will er auch zeigen, dass die Heap-Sicherung in PHP 5.2.1 die Ausnutzung vieler Sicherheitslücken nicht verhindere - anders als der von ihm mitentwickelte Suhosin-Patch, mit dem sich PHP absichern lässt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Lateinleera 12. Feb 2007

Dem Kodex nach müsste es Indifizieren heißen. *LOL*

johannhartmann 09. Feb 2007

Hi Ihr, Jepp, Stefan verkauft sich durch seine drastische Art manche Dinge zu bewerten...



Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /