1. PHP Magazin
  2. Software & Web-Development
  3. Neue PHP-Versionen schließen Sicherheitslöcher

Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Ratings

There are no comments available yet.

Here you can write a comment


Please enter at least 10 characters.
Loading... Please wait.
* Pflichtangabe

Related topics

PHP 4.3.2RC3 veröffentlicht

Dies ist das dritte und letzte Release und sollte keine kritischen Bugs und Probleme mit sich bringen. Download unter http://qa.php.net/ ...

admin

Autor : admin
Category: Software & Web-Development

Patent auf Multi-Abfrage

Am 6. Mai wurde auf die automatisierte, simultane Mehrfach-Abfrage verschiedener Whois-Datenbanken in den USA ein Patent an VeriSign erteilt worden. Demnach wäre das bei vielen Registrars und Domain-Händlern gebotene Verfahren durch ein Patent geschützt. ...

admin

Autor : admin
Category: Software & Web-Development

Sarge - Debian 3.1 ist fertig

Nach drei Jahren Entwicklungszeit, langem Warten und letzten Verzögerungen kurz vor der Freigabe ist es am heutigen Montag soweit: Die Entwickler der Linux-Distribution Debian geben die nächste stabile Release Debian/GNU Linux 3.1 frei. Das unter "Sarge" ...

admin

Autor : admin
Category: Software & Web-Development

PHP 4.3.2RC1 Released

Laut PHP.net soll dieser erste Release-Kandidat eine geringe Anzahl von Problemen oder Bugs haben. Jedoch wird wie immer keine Garantier auf die neue Version gegeben. ...

admin

Autor : admin
Category: Software & Web-Development

Datenschutz bei der eigenen Homepage - auf was ist künftig zu achten?

Der Schutz von Daten wird in Deutschland groß geschrieben und betrifft durchaus auch kleine und überwiegend privat genutzte Homepages. Das Problem liegt in den Cookies, mit denen jeder Besucher einer Seite in Berührung kommt. ...

admin

Autor : hostbar_danny
Category: Miscellaneous

Microsoft Word Files mit PHPdocx erstellen

PHPdocx ist in der Version 2.3. PHPdocx ermöglicht das erstellen von MS-Word Docx aus PHP herraus. ...

admin

Autor : admin
Category: Miscellaneous

Magazin & Tutorials
ebiz-consult GmbH & Co. KG
Wir entwickeln seit über 20 Jahren Web & E-Commerce Anwendungen
Egelsbach, Deutschland

Publish a press release

Share your news and information

Share your news and information with others

You want to inform other users about an interesting IT topic, then sign up now and share it with our PHP community

learn more

Publish a press release