php-resource.de

Aktuelle Themen und News zu PHP / mySQL

Neue PHP-Versionen schließen Sicherheitslöcher

Berni | Neu | Beitrag gelesen 2194 gelesen |

 


Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de

Kommentare zum Artikel
Artikel kommentieren
 
Verwandte Beiträge
star PHP Solutions Ausgabe 4/2004 (5) Juli/August
star Apache 2.0.50 beseitigt Sicherheitslöcher
star GIF-Patent bald vom Tisch
star Maguma Toolkit
star Zend PHP5 Contest

 
Links zum Artikel

Weitere PHP-News und Artikel

PHP Solutions Ausgabe 4/2004 (5) Juli/August

| Berni | MySQL

In der aktuellen Ausgabe: - Optimierung des PHP-Codes - Kampf der Giganten - MySQL - was bringt die Zukunft? - SQLite - klein ist schön - Wettervorhersage im XML-Format - ADOdb - ein alternatives Interface - Aufbewahrung von XML-Dokumenten in relati

Beitrag gelesen 2455 Views | Neu

Apache 2.0.50 beseitigt Sicherheitslöcher

| Berni | PHP

Die Apache Foundation hat die Version 2.0.50 des Webservers freigegeben, die zwei Sicherheitslücken stopft. Ein von Georgi Guninski entdeckter Fehler trat bei der Verarbeitung von überlangen Headern auf, wenn diese mit einem TAB oder einem SPACE beginnen.

Beitrag gelesen 2181 Views | Neu

GIF-Patent bald vom Tisch

| Berni | PHP

Nur noch wenige Tage, dann ist das zu zweifelhaftem Ruhm gelangte LZW-Patent der Firma Unisys endgültig Geschichte. Schon vor einem Jahr lief das US-Patent ab, heute folgt das europäische (EP 129,439 A1 ), übermorgen das japanische und am 7. Juli das kana

Beitrag gelesen 2135 Views | Neu

Maguma Toolkit

| Berni | PHP

Maguma Toolkit* ergänzt mit zusätzlichen Funktionen Maguma Workbench. Alle Features sind einzelne Module die einfach und schnell der Basis Maguma Workbench hinzugefügt werden können. Aufgrund der Plug-in Architektur können hilfreiche Add-ons zu jedem Zeit

Beitrag gelesen 2216 Views | Neu

Zend PHP5 Contest

| Berni | PHP

Der PHP 5 Coding Contest, der von Zend Technologies ausgerichtet wird, hat gestartet. Entwickler können bis zum 19. September aus sechs Aufgabenstellungen wählen, die in PHP 5 zu programmieren sind, und zwar ein Gallery-System, ein Online-Präsentationssys

Beitrag gelesen 2226 Views | Neu

PHP 5 RC3RC1 kommt bald

| Berni | PHP

Es wurde bekannt gegeben, dass eine Vorabversion von PHP 5 RC3 bald veröffentlicht werden soll, um im Vorfeld schon mal einige Funktionen zu testen und Fehler zu finden. Leider musste der Veröffentlichungstermin anfangs verschoben werden, da einige Proble

Beitrag gelesen 2053 Views | Neu

Apache-Version 1.3.31 verfügbar

| Berni | PHP

Die Apache Software Foundation hat die Apache-Version 1.3.31 veröffentlicht, die im Wesentlichen ein so genanntes "Bug Fix Release" ist. Wer sich über den Sprung in der Versionsnummer wundert: 1.3.30 wurde nie veröffentlicht. Die neue Version beseiti

Beitrag gelesen 2544 Views | Neu

Neue Ausgabe von PHP Solutions 3/2004 (4)

| Berni | PHP

Die Themen dieser Ausgabe: Grundlagen der Arbeit mit Textdateien - Erstellung von PDF-Dokumenten SquirrelMail -- Ihr Webmail-Modul Ein kostenloser (GPL-Lizenz), funktionaler E-Mail-Client. Übermittlung von Daten zwischen einzelnen Internet-Seiten. Di

Beitrag gelesen 2078 Views | Neu

Navigation -> Seitenanzahl : (95)

 « Anfang ...  «  38 39 40 41 42 43 44 45 46 47 48 49 50  » ... Ende »

Über den Autor
Berni

Berni

Status
Premium Mitglied

Beruf
Selbstständig

Mitglied seit:
22.01.2001

letzte Aktivität
19.06.2019