Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

Druckkosten senken - worauf ist zu achten?

Jeder Freelancer kennt ihn – und hat ihn mit hoher Wahrscheinlichkeit auch im eigenen Büro stehen. Die Rede ist vom Drucker ...

admin

Autor : admin
Kategorie: Software & Web-Development

PHP Seminare

Wen es interessiert - habe ich gerade im Netz gefunden : PHP-Seminare im Rhein-Main-Gebiet Lernen Sie dynamische und datenbankgestützte Webauftritte zu realisieren - schnell &amp; einfach. Am 5.6.00 startet der dritte php-basics Workshop ! ...

admin

Autor : admin
Kategorie: Software & Web-Development

Napster ab 2. März dicht?

Napster wird nach Informationen des Mp3newswire voraussichtlich am 2. März den Dienst einstellen. Dann nämlich wird die Richterin, die im vergangenen Jahr per Einstweiliger Verfügung die Einstellung verlangt hatte, eine neue Entscheidung verkünden. ...

admin

Autor : admin
Kategorie: Software & Web-Development

vBulletin-Germany.org wurde gehacked

Durch eine Sicherheitslücke in vBulletin, hat sich ein unbekannter Angreifer unberechtigten Zugriff auf die Datenbank verschafft. ...

admin

Autor : admin
Kategorie: Software & Web-Development

Maklersoftware der IWM Software AG erhält Innovationspreis-IT 2015

In 2015 wurde die IWM Software AG nun schon das zweite Jahr in Folge mit dem Innovationspreis-IT der Initiative Mittelstand ausgezeichnet. Die Jury lobte dabei vor allem den hohen Innovationsgehalt, den Nutzwert und die Ausrichtung auf den Mittelstand. ...

admin

Autor : admin
Kategorie: Software & Web-Development

Neue Technologien für den Firefox 3.5

Mozilla eröffnet den Web-Entwickler neue Möglichkeiten. Mit deutlich mehr Funktion und Möglichkeiten kommt die Version 3.5 daher. ...

admin

Autor : admin
Kategorie: Dies und Das

Finde den richtigen Job
Düsseldorf, Deutschland

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen