Abo
  • Services:
Anzeige
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden.
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden. (Bild: PHP-Projekt)

Kritische Sicherheitslücke: PHP 5.3.9 schleust Code über das Netzwerk ein

In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden.
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden. (Bild: PHP-Projekt)

Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.

Über einen schweren Fehler in der Skriptsprache PHP 5.3.9 lässt sich auch über das Netzwerk Code einschleusen und und ausführen. Ein Patch ist in der Entwicklerversion von PHP bereits eingeflossen, steht aber in der stabilen Version noch aus. Zunächst wird eine reparierte Version über die Snapshot-Server snaps.php.net und windows.php.net zur Verfügung gestellt. Ob der Bug auch in älteren Versionen behoben wird ist ebenfalls unklar. Bislang gibt es noch keine offizielle Beschreibung vom PHP-Team. Ein Workaround ist ebenfalls noch nicht bekannt.

Anzeige

Die Lücke entstand durch einen Patch, der eine weitere Sicherheitslücke schließen sollte, die Denial-of-Service-Angriffe über Hash-Kollisionen verhindert. Um solche DoS-Angriffe zu verhindern, wurde der Wert von max_input_vars in php_variables.c auf 100 herabgesetzt. Allerdings schlich sich bei der Implementierung dann der aktuelle Fehler ein.

Die Sicherheitserweiterung Suhosin soll von der Lücke nicht betroffen sein. Der Suhosin-Patch bietet weniger Sicherheit. Laut Suhosin-Entwickler Stefan Esser kann vorübergehend die Variable max_input_vars auf einen hohen Wert gesetzt werden, etwa 1 Milliarde. Dann sei PHP wieder anfällig für DoS-Angriffe, könne aber nicht durch Schadcode kompromittiert werden.

Update vom 2. Februar 2012, 10:00 Uhr

Inzwischen hat das PHP-Team den Fehler behoben und das Update 5.3.10 veröffentlicht. Reparierte Version der Skriptsprache sind bereits in einigen Repositories verfügbar, darunter für Red Hat Enterprise Linux 4, 5 und 6, Fedora sowie Debian.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. OSRAM GmbH, Augsburg
  2. Gebr. Heller Maschinenfabrik GmbH, Nürtingen
  3. T-Systems International GmbH, Netphen
  4. Jetter AG, Ludwigsburg


Anzeige
Top-Angebote
  1. 111€

Folgen Sie uns
       


  1. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  2. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  3. Raspberry Pi

    Raspbian auf Stretch upgedated

  4. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  5. Nvidia

    Keine Volta-basierten Geforces in 2017

  6. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  7. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  8. id Software

    Quake Champions startet in den Early Access

  9. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  10. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Re: Sinn

    Seargas | 03:52

  2. Re: Natürlich war das ein "Terroranschlag"

    Ach | 03:33

  3. Re: Das Spiel ist auf dem richtigen Weg!

    bynemesis | 03:05

  4. Re: Wird doch nix

    Mr Miyagi | 02:23

  5. Re: Das ist nicht die Aufgabe des Staates

    Libertybell | 02:15


  1. 14:38

  2. 12:42

  3. 11:59

  4. 11:21

  5. 17:56

  6. 16:20

  7. 15:30

  8. 15:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel