1. PHP Magazin
  2. Software & Web-Development
  3. Neue PHP-Versionen schließen Sicherheitslöcher

Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Erfahrungen

Es sind noch keine Kommentare vorhanden.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe

Verwandte Beiträge

Die wichtigsten Rahmenbedingungen für das Hosting

Guter Webspace wird in der heutigen Zeit immer wichtiger. Die Scripte werden moderner und fordern höhere Leistung, der allgemeine Traffic im Internet nimmt zu. ...

admin

Autor : admin
Kategorie: Hosting & Technik

Linux 2.4.10 verspricht mehr Performance

Nach 15 Vorabversionen gab Linus Torvalds jetzt den Linux-Kernel in der Version 2.4.10 frei, der zahlreiche Verbesserungen enthält. Allen voran der von Andrea Arcangeli überarbeitete VM-Code (Virtual Memory), der für eine spürbar bessere Performance sorge ...

admin

Autor : admin
Kategorie: Software & Web-Development

Warum Texterstellung mit künstlicher Intelligenz richtig gut ist

Warum Texterstellung mit künstlicher Intelligenz richtig gut ist

Künstliche Intelligenz ist dabei, die Welt zu erobern. Die größten Unternehmen entwickeln Systeme, die einen Text für Sie schreiben können. Und sie machen das sehr gut. ...

admin

Autor : admin
Kategorie: SEO & Online-Marketing

Neue Ausgabe von PHP Solution

Die Heft-CD enthält eine Sonderdistribution des kostenlosen Betriebsystems Aurox – Aurox Live PHP. Um die vorgestellten Skripten in Aktion zu sehen, müssen Sie nur die CD ins Laufwerk einlegen und den Rechner neu starten. Für unsere Leser(innen) haben ...

admin

Autor : admin
Kategorie: Software & Web-Development

Warum Lecturio auf Bootstrap setzt!

Schnell und einfach umzusetzen, trotzdem responsiv und individualisierbar – das sind die Hauptgründe, warum Lecturio auf Bootstrap setzt. ...

admin

Autor : admin
Kategorie: Dies und Das

Datenschutz bei der eigenen Homepage - auf was ist künftig zu achten?

Der Schutz von Daten wird in Deutschland groß geschrieben und betrifft durchaus auch kleine und überwiegend privat genutzte Homepages. Das Problem liegt in den Cookies, mit denen jeder Besucher einer Seite in Berührung kommt. ...

admin

Autor : hostbar_danny
Kategorie: Dies und Das

Magazin & Tutorials
ebiz-consult GmbH & Co. KG
Wir entwickeln seit über 20 Jahren Web & E-Commerce Anwendungen
Egelsbach, Deutschland

Pressemitteilung veröffentlichen

pressemitteilung veröffentlichen

Teile Deine News und Informationen mit anderen

Du möchtest andere User über ein interessantes IT-Thema informieren, dann melde Dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Angebot eintragen