php-resource.de

Aktuelle Themen und News zu PHP / mySQL

Neue PHP-Versionen schließen Sicherheitslöcher

Berni | Neu | Beitrag gelesen 2040 gelesen |

 


Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfer

Der Sicherheitsspezialist Stefan Esser hat zwei Sicherheitsprobleme in PHP entdeckt und veröffentlicht. Ein Problem mit der Speicherverwaltung können Angreifer ausnutzen, um eigenen Code einzuschleusen und auszuführen. Die Funktion strip_tags() zum Entfernen von Script-Code lässt sich austricksen. Beide Probleme sind erst in den aktuellen Versionen 4.3.8 und 5.0 behoben worden.

Wenn PHP mit einer Grenze für den Speicherbedarf von Skripten läuft (memory_limit), kann ein Angreifer einen Abbruch eines Skripts an unsicheren Stellen provozieren. Das kann dazu führen, dass beliebiger Code auf dem PHP-System ausgeführt wird. Laut Esser sind alle Plattformen, auf denen PHP läuft, verwundbar, sofern sie nicht mit nichtausführbarem Stack/Heap arbeiten.

Um Cross-Site-Scripting-Angriffe zu verhindern, filtern viele Web-Entwickler Benutzereingaben mit der Funktion strip_tags(). Der Filter reagiert jedoch nicht auf Konstrukte wie <script>. Browser wie der Internet Explorer und Safari filtern dann das Zeichen '' aus dem Eingabestring und erzeugen damit ein gültiges Tag. Andere Browser wie Opera, Konqueror und Mozilla/Firefox zeigen kein solches Verhalten.

heise.de

Kommentare zum Artikel
Artikel kommentieren
 
Verwandte Beiträge
star PHP Solutions Ausgabe 4/2004 (5) Juli/August
star Apache 2.0.50 beseitigt Sicherheitslöcher
star GIF-Patent bald vom Tisch
star Maguma Toolkit
star Zend PHP5 Contest

 
Links zum Artikel

Weitere PHP-News und Artikel

PHP Solutions Ausgabe 4/2004 (5) Juli/August

| Berni | Views

Apache 2.0.50 beseitigt Sicherheitslöcher

| Berni | Views

GIF-Patent bald vom Tisch

| Berni | Views

Maguma Toolkit

| Berni | Views

Zend PHP5 Contest

| Berni | Views

PHP 5 RC3RC1 kommt bald

| Berni | Views

Apache-Version 1.3.31 verfügbar

| Berni | Views

Neue Ausgabe von PHP Solutions 3/2004 (4)

| Berni | Views

Navigation -> Seitenanzahl : (95)

 « Anfang ...  «  38 39 40 41 42 43 44 45 46 47 48 49 50  » ... Ende »

Über den Autor
Berni

Berni

Status
Premium Mitglied

Beruf
Selbstständig

Mitglied seit:
22.01.2001

letzte Aktivität
18.04.2019