Menü
Security

Month of PHP Bugs gestartet

vorlesen Drucken Kommentare lesen 148 Beiträge

Der Monat März soll der Month of PHP Bugs (MOPB) werden. Wie schon bei den vorangegangenen Projekten MOBB, MOKB und dem zeitweise hohe Wellen schlagenden MOAB sollen zahlreiche Sicherheitslücken veröffentlicht werden. Im Unterschied zu den anderen drei Projekten wollen sich die Initiatoren, das Hardened-PHP Project, deren Mitglied unter anderem der Sicherheitsspezialist Stefan Esser ist, aber nicht unbedingt auf eine Lücke pro Tag beschränken. Zudem dreht sich der MOPB nur um ein einziges Produkt: Fehler im PHP-Kern und der Sprache an sich. Lücken in PHP-Anwendungen sollen nicht behandelt werden, tägliche Meldungen über derlei Lücken könne man jetzt schon auf Full Disclosure oder Bugtraq haben, so die FAQ zum Projekt.

Das Projekt will die Sicherheit von PHP verbessern, der MOPB sei nicht als Angriff auf die Entwickler von PHP oder als Rache für Streitereien im PHP Security Response Team gedacht. Esser hatte Ende vorigen Jahres resigniert das Security-Team von PHP verlassen. Damals befürchtete Zeev Suraski, CTO von Zend, allerdings, dass der MOPB dem PHP-Projekt mehr schaden als nützen würde.

Die MOPB-Seite ist im Design an die MOAB-Seite angelehnt – laut MOPB-FAQ aus Gründen der Übersichtlichkeit. Der erste Tag startet mit einer Lücke in der immer noch weit verbreiteten PHP-Version 4. Weil der Referenzzähler für Variablen nur 16 Bit breit ist, kann eine PHP-Anwendung diesen überlaufen lassen. Damit soll es laut Fehlerbericht möglich sein, Variablen zu löschen, eigene im gleichen Speicher anzulegen, eigenen Code in den Speicher zu schreiben und im Kontext der ausführenden Anwendung, etwa einem Webserver, zu starten. Ein Angreifer muss dazu allerdings mindestens eingeschränkte Zugriffsrechte auf ein System haben. Esser hat eine Demonstration des Fehlers bereitgestellt, der Link dorthin ist derzeit aber noch nicht freigeschaltet.

Das MOPB-Team erwartet nicht, dass der Fehler von den PHP-Entwicklern behoben wird, da es Probleme mit Closed-Source-Erweiterungen für PHP von anderen Herstellern geben könne. Als Workaround schlägt der Bericht vor, die Breite des Referenzzählers manuell etwa auf 32 Bit zu ändern und alle anderen PHP-Erweiterungen neu zu übersetzen – mit Closed Source ginge dies jedoch nicht.

Siehe dazu auch:

(dab)