Abo
  • Services:
Anzeige
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden.
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden. (Bild: PHP-Projekt)

Kritische Sicherheitslücke: PHP 5.3.9 schleust Code über das Netzwerk ein

In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden.
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden. (Bild: PHP-Projekt)

Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.

Über einen schweren Fehler in der Skriptsprache PHP 5.3.9 lässt sich auch über das Netzwerk Code einschleusen und und ausführen. Ein Patch ist in der Entwicklerversion von PHP bereits eingeflossen, steht aber in der stabilen Version noch aus. Zunächst wird eine reparierte Version über die Snapshot-Server snaps.php.net und windows.php.net zur Verfügung gestellt. Ob der Bug auch in älteren Versionen behoben wird ist ebenfalls unklar. Bislang gibt es noch keine offizielle Beschreibung vom PHP-Team. Ein Workaround ist ebenfalls noch nicht bekannt.

Anzeige

Die Lücke entstand durch einen Patch, der eine weitere Sicherheitslücke schließen sollte, die Denial-of-Service-Angriffe über Hash-Kollisionen verhindert. Um solche DoS-Angriffe zu verhindern, wurde der Wert von max_input_vars in php_variables.c auf 100 herabgesetzt. Allerdings schlich sich bei der Implementierung dann der aktuelle Fehler ein.

Die Sicherheitserweiterung Suhosin soll von der Lücke nicht betroffen sein. Der Suhosin-Patch bietet weniger Sicherheit. Laut Suhosin-Entwickler Stefan Esser kann vorübergehend die Variable max_input_vars auf einen hohen Wert gesetzt werden, etwa 1 Milliarde. Dann sei PHP wieder anfällig für DoS-Angriffe, könne aber nicht durch Schadcode kompromittiert werden.

Update vom 2. Februar 2012, 10:00 Uhr

Inzwischen hat das PHP-Team den Fehler behoben und das Update 5.3.10 veröffentlicht. Reparierte Version der Skriptsprache sind bereits in einigen Repositories verfügbar, darunter für Red Hat Enterprise Linux 4, 5 und 6, Fedora sowie Debian.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. AOK Systems GmbH, Bonn
  2. Stadt Regensburg, Regensburg
  3. Universität Passau, Passau
  4. Carl Werthenbach Konstruktionsteile GmbH & Co. KG, Bielefeld


Anzeige
Spiele-Angebote
  1. 19,99€
  2. (u. a. BioShock: The Collection 16,99€, Borderlands 2 GOTY 7,99€, Civilization VI 35,99€ und...

Folgen Sie uns
       


  1. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  2. Messung

    Über 23.000 Funklöcher in Brandenburg

  3. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  4. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  5. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  6. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  7. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  8. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  9. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  10. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Im video

    Codemonkey | 02:03

  2. Re: Schade.

    ManMashine | 01:54

  3. Re: Welcher Gamer nutzt nen Notebook ...

    motzerator | 01:44

  4. Singleplayer Teil ist ja schön und gut, aber...

    motzerator | 01:39

  5. Re: Achtung Überraschung

    Apfelbrot | 01:29


  1. 18:37

  2. 18:18

  3. 18:03

  4. 17:50

  5. 17:35

  6. 17:20

  7. 17:05

  8. 15:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel