Zahlreiche Schwachstellen in PHP
Durch mehrere Schwachstellen in der Skript-Sprache PHP kann ein Angreifer eigenen Code auf einen Server schleusen und ausführen. Nach Angaben von Stefan Esser lassen sich einige der insgesamt sieben Lücken nur mit einem gültigen Nutzerkonto ausnutzen, ein
2004-12-16 00:00:00 2004-12-16 00:00:00 admin
So ist beispielsweise in der Funktion pack() ein Integer Overflows enthalten, mit der ein Angreifer die Restriktionen des Safe Modes umgehen kann. Durch einen Integer Overflow in unpack() lassen sich unter Umständen Teile des Speichers, etwa des Apache-Prozesses auslesen. Auch ist die Funktion realpath() fehlerhaft, sodass man beispielsweise mit zu langen Pfadangaben auf bestimmten Betriebssystemen auf beliebige Skripte verweisen kann (include). Am kritischsten sind zwei Fehler in unserialize(), die in Kombination miteinander Zugriffe auf ungemappten Speicher gewähren und so das Einschleusen und Ausführen von Code über das Netzwerk erlauben. Laut Esser genügt dazu eine bestimmte Zeichenkette. PHP-Applikationen wie phpBB2, Invision Board, vBulletin und viele andere sind somit angreifbar, da sie Cookies über diese Funktion in ein eigenes Format übertragen. Nähere Angaben dazu sind dem Original-Advisory zu entnehmen.
http://www.heise.de/
Erfahrungen
Hier Kannst Du einen Kommentar verfassen
Verwandte Beiträge
EMS Hat die neue Generation des EMS Extract Utilities 2.0 auf dem Markt gebracht!
EMS Hat die neue Generation des EMS Extract Utilities 2.0 auf dem Markt gebracht! Utilities EMS Extract 2.0, sind ab sofort auf www.sqlmanager.net/de verfügbar. Was ist der EMS Extract? EMS Extract™ ist ein leistungsfähiges und bedienungsfreundliches ...
Autor :
admin
Kategorie:
Software & Web-Development
Firefox 3 ist fertig
Firefox steht als 3er-Version zum Download bereit. Die wichtigsten neuen Funktionen - Passwort-Manager - Ein-Klick-Lesezeichen - Höhere Leistung - Intelligente Adressleiste - Instant-Website-ID - Voller Webseitenzoom - Plattform-natives Aussehen ...
Autor :
admin
Kategorie:
Software & Web-Development
Googles AdWords-API für PHP (APIlity)
Unter dem Namen "APIlity" hat Google eine freie PHP-Bibliothek veröffentlicht, die den Umgang mit Googles AdWords-API vereinfachen soll. Das objektorientierte API von APIlity abstrahiert von SOAP sowie WSDL und soll es Entwicklern einfacher machen, die Bu ...
Autor :
admin
Kategorie:
Software & Web-Development
Sicherheitsloch in Firewall
TÜV entdeckt Sicherheitsloch in Firewall Bei einer routinemäßigen Sicherheitsüberprüfung mehrerer Kunden aus dem Bereich Internet-Providing (ISP) entdeckten die Spezialisten der TÜV data protect gravierende Sicherheitsmängel in der Firewall-Software "I ...
Autor :
admin
Kategorie:
Software & Web-Development
Internetwerbung: Noch dominiert das Standardbanner
Die Tageszeitung "Welt" färbte kürzlich ihre gesamte Titelseite in AOLBlau ein, Beiersdorf ("Nivea Beauty") platzierte kurze Fernsehspots thematisch passend in nachmittäglichen Talkshows bei ProSieben, BMW drehte für den 7er einen speziellen Videospot, ...
Autor :
admin
Kategorie:
Software & Web-Development
Microsofts Leitfaden gegen Linux
Einige Unternehmen haben von Microsoft eine Broschüre zum Thema "Windows versus Linux" zugeschickt bekommen. Es handelt sich um einen Argumentationsleitfaden für Verkäufer, damit diese "das Gespräch steuern können und es zu einem erfolgreichen Verkaufsabs ...
Autor :
admin
Kategorie:
Software & Web-Development