Sicherheitslücken in PHP (Update)

Die File-Upload-Funktion der Skriptsprache, die auf vielen Webservern zum Einsatz kommt, enthält diverse Fehler, die zu Sicherheitsproblemen führen können.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 87 Beiträge
Von
  • Jürgen Schmidt

Die File-Upload-Funktion der Skriptsprache PHP, die auf vielen Webservern zum Einsatz kommt, enthält diverse Fehler, die zu Sicherheitsproblemen führen. Veröffentlicht wurden die Bugs von Stefan Esser, der bei der Firma e-matters beschäftigt ist, aber auch zum PHP-Entwicklerteam gehört. Nach Postings im Bug-Trackingsystem der PHP-Entwickler, stiessen die Entwickler auf die Fehler durch einen konkreten Exploit, der über einen Buffer-Overflow Angreifern Zugang zu Servern mit PHP ermöglicht.

Betroffen sind alle Versionen 3.x und 4.x, sodass die Entwickler ein Upgrade auf Version 4.1.2 empfehlen. Alternativ bieten sie auch einen Patch für die Versionen PHP 3.0.18, 4.0.6 und 4.1.0/4.1.1 an.

Das Advisory gibt nur allgemeine Erklärungen zur Natur der Fehler, enthält aber weder konkrete Details, wo sie sich befinden, noch Hinweise darauf, wie man diese ausnutzen könnte. Offensichtlich scheint man sich auch in der OpenSource-Community mit dem von Microsoft initiierten RFC-Draft zur "verantwortungsbewussten Veröffentlichung von Sicherheitslücken" anzufreunden.

Dass das Advisory den bereits existierenden, externen Exploit nicht einmal erwähnt, der diese Fehler ausnutzt und unter Umständen bereits in einschlägigen Kreisen kursiert, kann man als schlechtes Vorzeichen für den sich abzeichnenden Veränderungsprozess bei der Veröffentlichung von Sicherheitslücken werten. Diese Information zu unterschlagen, könnte manchen Administrator zu einer Fehleinschätzung der Dringlichkeit des Updates verleiten. (ju)