1. PHP Magazin
  2. Software & Web-Development
  3. Neue PHP-Versionen schließen Sicherheitslöcher

Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Ratings

There are no comments available yet.

Here you can write a comment


Please enter at least 10 characters.
Loading... Please wait.
* Pflichtangabe

Related topics

International PHP Conference 2006

Bereits zum sechsten Mal bringen wir für Sie die Top-Köpfe der PHP-Community zusammen und bieten Ihnen 4 Tage volle Information, die aktuellsten Neuigkeiten rund um PHP und jede Menge Spaß beim Networking mit anderen PHP-Profis. Um ein breites Spektrum ...

admin

Autor : admin
Category: Software & Web-Development

PHP 4.3.3RC1 veröffentlicht

PHP 4.3.3RC1 wurde zum Testen freigegeben. Dieser erste Release-Kandidat sollte eine geringe Anzahl an Bugs oder Fehlern haben. Eine Liste der Neuerungen ist hier zu finden. ...

admin

Autor : admin
Category: Software & Web-Development

Softwarepatente : Hochrangige Europaparlamentarierin wirft EU-Kommission „Schulterschluss mit Microsoft“ vor und sieht nächste Niederlage von Kommissi

"Unüberlegter Schulterschluss mit Microsoft, der die EU-Kommission noch teuer zu stehen kommen könnte" -- "Bill Gates [...] schafft sich im Moment immer mehr Gegner im EU-Parlament" -- Scharfe Kritik an der Kommission übten zuvor schon CDU/CSU und FDP ...

admin

Autor : admin
Category: Software & Web-Development

Das neue Urheberrechtsgesetz

Das neue Urheberrecht ändert sich, sehr zum Nachteil von Verbrauchern und Herstellern von Kopierprogrammen. Das private Kopieren von kopiergeschützten Werken wird ebenso verboten wie das Herstellen und Verbreiten entsprechender Kopierprogramme. Die Aktion ...

admin

Autor : admin
Category: Software & Web-Development

PHP World Kongress – 24. – 25. November 2009 Konferenzzentrum München

€ 100,- Rabatt für Besucher von www.php-resource.de! ...

admin

Autor : admin
Category: Miscellaneous

Ausblick auf Novell NetWare 6

Am Rande seiner CeBIT-Pressekonferenz zum neuen GroupWise 6 hat Novell auch die Folgeversion 6 seiner Netware angekündigt. ----&gt; Morpheus ...

admin

Autor : admin
Category: Software & Web-Development

Magazin & Tutorials
ebiz-consult GmbH & Co. KG
Wir entwickeln seit über 20 Jahren Web & E-Commerce Anwendungen
Egelsbach, Deutschland

Publish a press release

Share your news and information

Share your news and information with others

You want to inform other users about an interesting IT topic, then sign up now and share it with our PHP community

learn more

Publish a press release