1. PHP Magazin
  2. Software & Web-Development
  3. Neue PHP-Versionen schließen Sicherheitslöcher

Neue PHP-Versionen schließen Sicherheitslöcher

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de
Author

Ratings

There are no comments available yet.

Here you can write a comment


Please enter at least 10 characters.
Loading... Please wait.
* Pflichtangabe

Related topics

Red Hat bringt 'Workstation'-Linux

Der US-amerikanische Linux-Distributor Red Hat bringt einen neuen Aspekt in die Diskussion um den Einsatz des Open-Source-Systems auf Client-Rechnern. Die für das erste Quartal angekündigte Linux-Distribution soll weniger auf normalen Arbeitsplatzrechnern ...

admin

Autor : admin
Category: Software & Web-Development

PHPStan supports PHP 8.2

PHPStan supports PHP 8.2

PHPStan supports PHP 8.2

PHPStan is a static code analysis tool for PHP and now supports PHP up to version 8.2 ...

admin

Autor : admin
Category: Software-Updates

W3C legt Vorschläge für SVG- und SMIL-Animation vor

Das W3C hat jetzt die Scalable Vector Graphics (SVG 1.0) Spezifikation und SMIL Animation (Synchronized Multimedia Integration Language) als "Proposed Recommendation" vorgelegt. Damit nähern sich beide nun einem offiziellen W3C-Standard, der "Recommendati ...

admin

Autor : admin
Category: Software & Web-Development

PHP 4.3.3RC1 veröffentlicht

PHP 4.3.3RC1 wurde zum Testen freigegeben. Dieser erste Release-Kandidat sollte eine geringe Anzahl an Bugs oder Fehlern haben. Eine Liste der Neuerungen ist hier zu finden. ...

admin

Autor : admin
Category: Software & Web-Development

PHP 5.3.4 schließt 100 Bugs sowie offene Angriffspunkte

Nicht nur in PHP 5.3.4 wurden Bugfixes integriert sonder auch bei PHP 5.2.15 wurde nachgearbeitet. ...

admin

Autor : admin
Category: Software & Web-Development

apache.org gehackt

Die Apache Software Foundation (ASF) hat bestätigt, dass es bislang unbekannten Crackern gelungen ist, in einen öffentlichen Server der Software-Entwickler einzudringen. --&gt; Morpheus ...

admin

Autor : admin
Category: Software & Web-Development

Magazin & Tutorials
ebiz-consult GmbH & Co. KG
Wir entwickeln seit über 20 Jahren Web & E-Commerce Anwendungen
Egelsbach, Deutschland

Publish a press release

Share your news and information

Share your news and information with others

You want to inform other users about an interesting IT topic, then sign up now and share it with our PHP community

learn more

Publish a press release