1. PHP Magazin
  2. Software & Web-Development
  3. Neue PHP-Versionen schließen Sicherheitslöcher

Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

PHP auf dem Linuxtag

Unter der Adresse http://www.phpinfo.de wurde in einem Gemeinschafts- projekt der PHP Community-Portale Dynamic Web Pages, PHP-Homepage.de und PHPUG.de die Seite "PHP auf dem Linuxtag" ins Leben gerufen. Ob Übernachtungsmöglichkeiten, Standgestaltun ...

admin

Autor : admin
Kategorie: Software & Web-Development

mod_perl 2.0 unterstützt Threads und verspricht höhere Geschwindigkeit

Der Embedded-Perl-Interpreter für Apache mod_perl ist jetzt offiziell in der Version 2.0.0 erschienen. Die Software stellt einen persistenten Interpreter für Perl-Scripte, so dass es nicht notwendig ist bei jedem Seitenaufruf einen externen Interpreter zu ...

admin

Autor : admin
Kategorie: Software & Web-Development

TraceWatch 0.3 Released

TraceWatch, Real-Time Web-Statistik, ist nach langem Stillstand jetzt in der Version 0.3 verschienen. ...

admin

Autor : admin
Kategorie: Dies und Das

PHP Solutions - Ausgabe 3 !!!

PHP Solutions - Eine informative Zeitschrift mit einer Live-CD zum direkten Testen von PHP-Skripten Die Highlights der kommenden Zeitschrift: - Eine Einführung in CodeCharge Studio - Phile Explorer - Verwaltung von Webseiten - Programmierung einer Si ...

admin

Autor : admin
Kategorie: Software & Web-Development

T-DSL bald noch schneller?

Dass auch an den wildesten Gerüchten und Spekulationen fast immer ein Körnchen Wahrheit ist, zeigt sich hier auch wieder. Seit einiger Zeit kursieren im Internet Gerüchte, dass die Telekom plant, die Geschwindigkeit ihres T-DSL Zugangs zu erhöhen ...

admin

Autor : admin
Kategorie: Software & Web-Development

PHP 4.3.1 beseitigt Sicherheitslücke

Die PHP-Group hat ein Sicherheits-Update veröffentlicht. PHP 4.3.1 schließt ein Sicherheitloch bei der CGI-Anbindung. Andere Änderungen enthält die neue Version nicht. Über die Option "--enable-force-cgi-redirect" oder die php.ini-Option "cgi.force_re ...

admin

Autor : admin
Kategorie: Software & Web-Development

Magazin & Tutorials
Frase Inc
Frase AI hilft Ihnen, hochwertige SEO-Inhalte in Minuten statt in Stunden zu recherchieren
Boston, USA

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen