1. PHP Magazin
  2. Software & Web-Development
  3. Neue PHP-Versionen schließen Sicherheitslöcher

Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

PHP 7.0 Beta 1 veröffentlicht

Mit der PHP Version 7.0 b1 wurde die dritte Vorabversion der neuen PHP 7 Serie veröffentlicht. ...

admin

Autor : admin
Kategorie: Software & Web-Development

Linux komplett von CD lauffähig

Knoppix 3.1 mit KDE 3.0.2 und OpenOffice 1.0.1 Knopper.Net bietet jetzt mit einer öffentlichen Beta von Knoppix 3.1 eine Vorabversion der nächsten Neuauflage seiner komplett von CD lauffähigen Liunx-Distribution an. Knoppix verfügt über eine autom ...

admin

Autor : admin
Kategorie: Software & Web-Development

Microsofts zweiter Sturm aufs Internet

Unter dem Codenamen "Hagelsturm" will Microsoft noch 2001 das Internet mit einer Reihe von benutzerzentrierten Web-Diensten beglücken und damit die iEconomy anschieben. ...

admin

Autor : admin
Kategorie: Software & Web-Development

Sicherheitsupdate für PHP 4.4.2 erschienen

Kurz nach der Veröffentlichung von PHP 5.1.2 folgt auch ein Sicherheitsupdate für PHP 4. Die neue Version PHP 4.4.2 behebt ebenfalls Sicherheitslücken. So begrenzt PHP 4.4.2 Header auf eine Zeile, um das Einschleusen von Befehlen zu verhindern und schließ ...

admin

Autor : admin
Kategorie: Software & Web-Development

International PHP Conference 2008!

International PHP Conference, 27.-31. Oktober 2008, Rheingoldhalle Mainz Die International PHP Conference war die weltweit erste Konferenz, die sich dem Thema Dynamic Languages annahm. Heute ist die IPC die Referenz, wenn es darum geht, Grundlagen für ...

admin

Autor : admin
Kategorie: Software & Web-Development

Maguma Toolkit

Maguma Toolkit* ergänzt mit zusätzlichen Funktionen Maguma Workbench. Alle Features sind einzelne Module die einfach und schnell der Basis Maguma Workbench hinzugefügt werden können. Aufgrund der Plug-in Architektur können hilfreiche Add-ons zu jedem Zeit ...

admin

Autor : admin
Kategorie: Software & Web-Development

Magazin & Tutorials
estugo
Maßstäbe im Shophosting seit über 15 Jahren
Greifswald, Deutschland

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen