Zahlreiche Schwachstellen in PHP
Durch mehrere Schwachstellen in der Skript-Sprache PHP kann ein Angreifer eigenen Code auf einen Server schleusen und ausführen. Nach Angaben von Stefan Esser lassen sich einige der insgesamt sieben Lücken nur mit einem gültigen Nutzerkonto ausnutzen, ein
2004-12-16 00:00:00 2004-12-16 00:00:00 admin
So ist beispielsweise in der Funktion pack() ein Integer Overflows enthalten, mit der ein Angreifer die Restriktionen des Safe Modes umgehen kann. Durch einen Integer Overflow in unpack() lassen sich unter Umständen Teile des Speichers, etwa des Apache-Prozesses auslesen. Auch ist die Funktion realpath() fehlerhaft, sodass man beispielsweise mit zu langen Pfadangaben auf bestimmten Betriebssystemen auf beliebige Skripte verweisen kann (include). Am kritischsten sind zwei Fehler in unserialize(), die in Kombination miteinander Zugriffe auf ungemappten Speicher gewähren und so das Einschleusen und Ausführen von Code über das Netzwerk erlauben. Laut Esser genügt dazu eine bestimmte Zeichenkette. PHP-Applikationen wie phpBB2, Invision Board, vBulletin und viele andere sind somit angreifbar, da sie Cookies über diese Funktion in ein eigenes Format übertragen. Nähere Angaben dazu sind dem Original-Advisory zu entnehmen.
http://www.heise.de/
Ratings
Here you can write a comment
Related topics
CIA befürchtet Angriffe aus dem Internet
Der US-Geheimdienst CIA befürchtet Cyber-Angriffe Russlands und Chinas auf die USA. Nach seinen Erkenntissen würden diese Staaten Software entwickeln, die der US-Ökonomie substantiell schaden könnte, erklärte Lawrence Gershwin, CIA-Verantwortlicher für di ...

Autor :
admin
Category:
Software & Web-Development
IT-Freiberufler unsicher über eigenen Marktwert
Über 70 Prozent der IT-Selbstständigen betrachten Freelancing als ihr persönliches Arbeitsmodell und nicht als Übergangslösung. Elf Prozent der Befragten fühlen sich bei Verhandlungen häufig über den Tisch gezogen. Den Schritt in die Selbstständigkeit pla ...

Autor :
admin
Category:
Software & Web-Development
Die RIGID-FLEX-Technologie
Die sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen. ...

Autor :
admin
Category:
Software & Web-Development
Das Samsung Galaxy Tab - Android-2.2-Tablet auf der Ifa 2010
In der offiziellen Vorschauvideo des Samsungs Android-Tablet Galaxy Tab werden einige der verfügbaren Funktionen gezeigt. ...

Autor :
admin
Category:
Miscellaneous
Linux-Kernel 2.6 für Juni 2003
In einem Vortrag auf einer Bootstour in der Karibik soll "Linux-Erfinder" Linus Torvalds konkrete Pläne für die nächste Kernel-Version bekannt gegeben haben – das berichtet der US-Newsdienst CNET unter Berufung auf einen Mitschnitt. So soll die Aufnahme n ...

Autor :
admin
Category:
Software & Web-Development
Sicherheitsupdate für OpenX
Das Sicherheitsupdate 2.8.7 schließt eine Schwachstelle wodurch der Webserver kompromittiert werden kann. ...

Autor :
admin
Category:
Miscellaneous