Kritische Sicherheitslücke: PHP 5.3.9 schleust Code über das Netzwerk ein

Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.

Artikel veröffentlicht am ,
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden.
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden. (Bild: PHP-Projekt)

Über einen schweren Fehler in der Skriptsprache PHP 5.3.9 lässt sich auch über das Netzwerk Code einschleusen und und ausführen. Ein Patch ist in der Entwicklerversion von PHP bereits eingeflossen, steht aber in der stabilen Version noch aus. Zunächst wird eine reparierte Version über die Snapshot-Server snaps.php.net und windows.php.net zur Verfügung gestellt. Ob der Bug auch in älteren Versionen behoben wird ist ebenfalls unklar. Bislang gibt es noch keine offizielle Beschreibung vom PHP-Team. Ein Workaround ist ebenfalls noch nicht bekannt.

Die Lücke entstand durch einen Patch, der eine weitere Sicherheitslücke schließen sollte, die Denial-of-Service-Angriffe über Hash-Kollisionen verhindert. Um solche DoS-Angriffe zu verhindern, wurde der Wert von max_input_vars in php_variables.c auf 100 herabgesetzt. Allerdings schlich sich bei der Implementierung dann der aktuelle Fehler ein.

Die Sicherheitserweiterung Suhosin soll von der Lücke nicht betroffen sein. Der Suhosin-Patch bietet weniger Sicherheit. Laut Suhosin-Entwickler Stefan Esser kann vorübergehend die Variable max_input_vars auf einen hohen Wert gesetzt werden, etwa 1 Milliarde. Dann sei PHP wieder anfällig für DoS-Angriffe, könne aber nicht durch Schadcode kompromittiert werden.

Update vom 2. Februar 2012, 10:00 Uhr

Inzwischen hat das PHP-Team den Fehler behoben und das Update 5.3.10 veröffentlicht. Reparierte Version der Skriptsprache sind bereits in einigen Repositories verfügbar, darunter für Red Hat Enterprise Linux 4, 5 und 6, Fedora sowie Debian.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /