1. PHP Magazin
  2. Software & Web-Development
  3. Neue PHP-Versionen schließen Sicherheitslöcher

Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Ratings

There are no comments available yet.

Here you can write a comment


Please enter at least 10 characters.
Loading... Please wait.
* Pflichtangabe

Related topics

Microsoft - Internet Explorer 6.0 kommt ab Mittwoch

Nach bisher unbestätigten Gerüchten will Microsoft ab Mittwoch den Internet Explorer 6.0 in einer "Public Preview"-Version zum Download bereitstellen. ...

admin

Autor : admin
Category: Software & Web-Development

PHP 5 RC3RC1 kommt bald

Es wurde bekannt gegeben, dass eine Vorabversion von PHP 5 RC3 bald veröffentlicht werden soll, um im Vorfeld schon mal einige Funktionen zu testen und Fehler zu finden. Leider musste der Veröffentlichungstermin anfangs verschoben werden, da einige Proble ...

admin

Autor : admin
Category: Software & Web-Development

T-Online stellt Flatrate ein

T-Online stellt seine ISDN-Flatrate ein. Zu defizitär sei der neue Dienst, so die Begründung. Auch die übermässige Nutzung des nach wie vor über Telefonleitungen laufenden Angebotes habe letztlich dazu beigetragen, dass man diesen Schritt gehen müsse und ...

admin

Autor : admin
Category: Software & Web-Development

Design und Development für mobile Endgeräte

Gibt es das mobile Web überhaupt? Und sollten dementsprechend von nun an separate Webseiten für mobile Endgeräte wie Smartphones und Tablets erstellt werden? ...

admin

Autor : admin
Category: Miscellaneous

Sicherheitslücke in MySQL-Datenbank

Auf der Sicherheitsmailingliste Full-Disclosure wurde ein Security Advisory veröffentlicht, in dem auf einen Fehler im Open-Source-Datenbank-Server MySQL hingewiesen wird. Benutzerpasswörter werden als sogenannte Hashes als 16 Byte lange, hexadezimale Zei ...

admin

Autor : admin
Category: Software & Web-Development

Beta von Visual J# .NET zum Downloaden

Java-Applikationen nur für .NET entwickeln Microsoft bietet jetzt eine zweite Beta von Visual J# .NET an, einem Entwicklungstool, mit dem sich Applikationen und Dienste für Microsoft .NET in Java realisieren lassen. Visual J# .NET bietet dabei nat ...

admin

Autor : admin
Category: Software & Web-Development

Magazin & Tutorials
estugo
Maßstäbe im Shophosting seit über 15 Jahren
Greifswald, Deutschland

Publish a press release

Share your news and information

Share your news and information with others

You want to inform other users about an interesting IT topic, then sign up now and share it with our PHP community

learn more

Publish a press release