Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

10 Terabyte Warez in Frankfurt am Main sichergestellt

Staatsanwaltschaft und Kriminalpolizei haben gestern eine Durchsuchung in einem Rechenzentrum in Frankfurt am Main durchgeführt. Der Betreiber einer so genannten TopSite soll auf drei Rechnern, die dort sichergestellt wurden, Filme, Spiele und Programme i ...

admin

Autor : admin
Kategorie: Software & Web-Development

PHP-Framework Horde 3.1 verfügbar

Horde, ein PHP-basiertes Open-Source-Framework zur Erstellung von Web-Anwendungen, liegt nun in der Version 3.1 vor. Neben zahlreichen Bugfixes bringt sie auch neue Funktionen mit, etwa um die Gültigkeit von Passwörtern zu erkennen, Phishing-Versuche aufz ...

admin

Autor : admin
Kategorie: Software & Web-Development

MySQL-Administration Script PhpMyAdmin 3.0.0 fertig

In der Version 3.0.0 bringt einiges an Erneuerungen mit. So kann PhpMyAdmin z.B. mit Storage-Engines PBXT und Maria umgehen und unterstützt eine hardwarebasierte Authentifizierung mittels SweKey. Weiter unterstützt werden partitionierte Tabellen in MySQL ...

admin

Autor : admin
Kategorie: Software & Web-Development

MobilCom senkt Preise für DSL-Flatrate

Die Preise für die DSL-Flatrate der MobilCom sinken ab sofort von bisher 99 auf nun 59 Mark monatlich. ...

admin

Autor : admin
Kategorie: Software & Web-Development

phpFK jetzt in der v7.0.4 verfügbar

Für das kostenlose phpFK - PHP Forum Script ohne MySQL wurde heute die Version v7.0.4 zum kostenlosen Download zur Verfügung gestellt. Crawler & Robots - Auswertung ...

jaaap

Autor : jaaap
Kategorie: Dies und Das

Nebenjob als Freelancer

Es besteht kein Zweifel: Der Nebenjob liegt im Trend. Immer mehr Menschen sehen in einem Nebenjob die Möglichkeit, ihre Kasse aufzustocken, um sich Sonderwünsche erfüllen zu können. ...

admin

Autor : admin
Kategorie: Dies und Das

Finde den richtigen Job
Düsseldorf, Deutschland

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen