Abo
  • Services:

Kritische Sicherheitslücke: PHP 5.3.9 schleust Code über das Netzwerk ein

Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.

Artikel veröffentlicht am ,
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden.
In PHP 5.3.9 ist eine gefährliche Sicherheitslücke entdeckt worden. (Bild: PHP-Projekt)

Über einen schweren Fehler in der Skriptsprache PHP 5.3.9 lässt sich auch über das Netzwerk Code einschleusen und und ausführen. Ein Patch ist in der Entwicklerversion von PHP bereits eingeflossen, steht aber in der stabilen Version noch aus. Zunächst wird eine reparierte Version über die Snapshot-Server snaps.php.net und windows.php.net zur Verfügung gestellt. Ob der Bug auch in älteren Versionen behoben wird ist ebenfalls unklar. Bislang gibt es noch keine offizielle Beschreibung vom PHP-Team. Ein Workaround ist ebenfalls noch nicht bekannt.

Stellenmarkt
  1. HMS Technology Center Ravensburg GmbH, Ravensburg
  2. TeamBank AG, Nürnberg

Die Lücke entstand durch einen Patch, der eine weitere Sicherheitslücke schließen sollte, die Denial-of-Service-Angriffe über Hash-Kollisionen verhindert. Um solche DoS-Angriffe zu verhindern, wurde der Wert von max_input_vars in php_variables.c auf 100 herabgesetzt. Allerdings schlich sich bei der Implementierung dann der aktuelle Fehler ein.

Die Sicherheitserweiterung Suhosin soll von der Lücke nicht betroffen sein. Der Suhosin-Patch bietet weniger Sicherheit. Laut Suhosin-Entwickler Stefan Esser kann vorübergehend die Variable max_input_vars auf einen hohen Wert gesetzt werden, etwa 1 Milliarde. Dann sei PHP wieder anfällig für DoS-Angriffe, könne aber nicht durch Schadcode kompromittiert werden.

Update vom 2. Februar 2012, 10:00 Uhr

Inzwischen hat das PHP-Team den Fehler behoben und das Update 5.3.10 veröffentlicht. Reparierte Version der Skriptsprache sind bereits in einigen Repositories verfügbar, darunter für Red Hat Enterprise Linux 4, 5 und 6, Fedora sowie Debian.



Anzeige
Hardware-Angebote
  1. 119,90€

Folgen Sie uns
       


Apple Mac Mini (Late 2018) - Test

Apple Mac Mini (Late 2018) ist ein kompaktes System mit Quadcore- oder Hexacore-Chip. Uns gefällt die Anschlussvielfalt mit klassischem USB und Thunderbolt 3, zudem arbeitet der Rechner sparsam und sehr leise. Die Zielgruppe erscheint uns aber klein, da der Mac Mini mindestens 900 Euro, aber nur eine integrierter Grafikeinheit aufweist.

Apple Mac Mini (Late 2018) - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

    •  /