Zahlreiche Schwachstellen in PHP
Durch mehrere Schwachstellen in der Skript-Sprache PHP kann ein Angreifer eigenen Code auf einen Server schleusen und ausführen. Nach Angaben von Stefan Esser lassen sich einige der insgesamt sieben Lücken nur mit einem gültigen Nutzerkonto ausnutzen, ein
2004-12-16 00:00:00 2004-12-16 00:00:00 admin
So ist beispielsweise in der Funktion pack() ein Integer Overflows enthalten, mit der ein Angreifer die Restriktionen des Safe Modes umgehen kann. Durch einen Integer Overflow in unpack() lassen sich unter Umständen Teile des Speichers, etwa des Apache-Prozesses auslesen. Auch ist die Funktion realpath() fehlerhaft, sodass man beispielsweise mit zu langen Pfadangaben auf bestimmten Betriebssystemen auf beliebige Skripte verweisen kann (include). Am kritischsten sind zwei Fehler in unserialize(), die in Kombination miteinander Zugriffe auf ungemappten Speicher gewähren und so das Einschleusen und Ausführen von Code über das Netzwerk erlauben. Laut Esser genügt dazu eine bestimmte Zeichenkette. PHP-Applikationen wie phpBB2, Invision Board, vBulletin und viele andere sind somit angreifbar, da sie Cookies über diese Funktion in ein eigenes Format übertragen. Nähere Angaben dazu sind dem Original-Advisory zu entnehmen.
http://www.heise.de/
Ratings
Here you can write a comment
Related topics
Sicherheitslücken im Domino-Server 6.0 entdeckt
Vier durch Buffer Overflows verursachte Sicherheitslöcher im Domino Server 6.0 wurden durch die NGSS aufgedeckt. NGSS bietet Software und Dienstleistungen zur Überprüfung von Domino- und Oracle-Servern an und veröffntlicht regelmäßig Advisories in diesem ...

Autor :
admin
Category:
Software & Web-Development
Openoffice.org 3.1.1 RC 2 ist fertig
Mit wenig Erneuerungen jedoch stark fehlerbereinigt kommt Openoffice 3.1.1 RC 2 auf den Markt. ...

Autor :
admin
Category:
Miscellaneous
Captcha and Security Queries
Small tools and services making it difficult for spammers to you clearly promote their own services. ...

Autor :
cr0ssfreak
Category:
Miscellaneous
The most important parameters for hosting
Good web space is becoming more and more important in today's world. Scripts are becoming more modern and demand higher performance, the general traffic on the Internet is increasing." ...

Autor :
admin
Category:
Hosting & Technology
Google jetzt auch als Web-Service
Suchmaschinen-Dienste in eigene Applikationen integrieren Google hat jetzt eine erste Beta-Version seiner Web-API vorgelegt, mit der sich die Suchtechnik von Google mit Zugriff auf über zwei Milliarden Webdokumente in eigene Applikationen integ ...

Autor :
admin
Category:
Software & Web-Development
PHP 5.4.0 ist fertig!
Mit neuen Spracheigenschaften aber ohne Register Globals, Magic Quotes und Safe Mode ist PHP 5.4.0 nach drei Jahren nach erscheinen der Version 5.3.0 fertig. ...

Autor :
admin
Category:
Software & Web-Development