PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : heise.de - Zahlreiche Schwachstellen in Skriptsprache PHP (auch VB davon betroffen)



joergh
16.12.2004, 21:08
Habe das Thema hier noch nicht gefunden, deshalb die dringende Bitte an alle, aktualisiert Eure PHP-Version bzw. wendet Euch an Euren Provider. Sollte die Kategorie hier nicht stimmen, verschiebt den Beitrag bitte! Vielen Dank!

joergh

| http://www.heise.de/newsticker/meldung/54320
|
| Zahlreiche Schwachstellen in Skriptsprache PHP
|
| Durch mehrere Schwachstellen in der Skript-Sprache PHP kann ein
| Angreifer eigenen Code auf einen Server schleusen und ausführen. Nach
| Angaben von Stefan Esser lassen sich einige der insgesamt sieben
| Lücken nur mit einem gültigen Nutzerkonto ausnutzen, einige
| ermöglichen aber auch den Angriff über ein Netzwerk. Esser hat die
| Fehler während der Entwicklung von Hardened-PHP entdeckt, das die
| bereits vorhandene Codebasis von PHP mit neuen Sicherheitsfunktionen ausstattet.
|
| So ist beispielsweise in der Funktion pack() ein Integer Overflows
| enthalten, mit der ein Angreifer die Restriktionen des Safe Modes
| umgehen kann. Durch einen Integer Overflow in unpack() lassen sich
| unter Umständen Teile des Speichers, etwa des Apache-Prozesses
| auslesen. Auch ist die Funktion realpath() fehlerhaft, sodass man
| beispielsweise mit zu langen Pfadangaben auf bestimmten
| Betriebssystemen auf beliebige Skripte verweisen kann (include). Am
| kritischsten sind zwei Fehler in unserialize(), die in Kombination
| miteinander Zugriffe auf ungemappten Speicher gewähren und so das
| Einschleusen und Ausführen von Code über das Netzwerk erlauben. Laut
| Esser genügt dazu eine bestimmte Zeichenkette. PHP-Applikationen wie
| phpBB2, Invision Board, vBulletin und viele andere sind somit
| angreifbar, da sie Cookies über diese Funktion in ein eigenes Format
| übertragen. Nähere Angaben dazu sind dem Original-Advisory zu
| entnehmen.
|
| Betroffen sind PHP4 bis einschließlich 4.3.9 sowie PHP5 bis
| einschließlich 5.0.2. Die PHP-Entwickler haben neue Versionen zur
| Verfügung gestellt, in denen noch zahlreiche andere Fehler beseitigt
| sind und empfehlen allen Anwendern dringend diese zu installieren.
| Darüber, wer welche Fehler entdeckt hat, gibt es nun ein kleines
| Hickhack. Kurz nach Essers Advisory erschien ein Posting von Martin
| Eiszner, der für sich in Anspruch nimmt, die unserialize()-Lücke als
| Erster gefunden zu haben.

Odysseus
17.12.2004, 14:04
Habe bereits aktualisiert.

Es soll übrigens üble Progleme zwischen PHP 4.3.10 und PHP-Beschleunigern (z.B. Turck MMCache) geben. Aber sowas benutze ich ohnehin nicht mehr.

Silmarillion
17.12.2004, 15:00
Wie sieht es denn bzgl. der PHP-Kompatibilät zur aktuellen vB3-Version aus? Veträgt die sich mit allen neuen PHP-Versionen? Nicht das hinterher nichts mehr läuft :rolleyes: ...

mfg

joergh
17.12.2004, 16:23
mein Provider hat es heute nacht aktualisiert, bisher ist mir nichts aufgefallen.

Wer es sich ansehen will, klicke bitte auf die Signatur.

joergh

Kleine Anmerkung: Natürlich passt das Thema hier in die Rubrik "Server konfigurieren" aber meint Ihr nicht, daß das Thema hier viel zu schnell "untergeht" und viele User in diesen Foren hier nicht mitlesen? :confused: :rolleyes: Dafür ist das Thema gerade als vb-User zu wichtig...

Mystics
17.12.2004, 20:24
Kleine Anmerkung: Natürlich passt das Thema hier in die Rubrik "Server konfigurieren" aber meint Ihr nicht, daß das Thema hier viel zu schnell "untergeht" und viele User in diesen Foren hier nicht mitlesen? :confused: :rolleyes: Dafür ist das Thema gerade als vb-User zu wichtig...Deshalb habe ich es ja mit Verweis verschoben...nun ist es in beiden Foren.

Silmarillion
17.12.2004, 20:46
Wie würdest Du denn die Dringlichkeit eines Updates einstufen, Mystics?

mfg

Metro Man
17.12.2004, 20:47
Ui gleich mal meinen Hoster anschreiben ob er schon geupdatet hat bin bei keyweb.

Mystics
17.12.2004, 20:59
Wie würdest Du denn die Dringlichkeit eines Updates einstufen, Mystics?Besser heute als morgen.

h75
17.12.2004, 21:09
ähm betrifft das auch PHP im Safe mode?

joergh
17.12.2004, 23:23
Zitat aus der Meldung:


So ist beispielsweise in der Funktion pack() ein Integer Overflows enthalten, mit der ein Angreifer die Restriktionen des Safe Modes umgehen kann.

@Mystics: Natürlich ist die "Verschiebe-Funktion" klar, nur werden die Hinweise auf verschobene Threads bei Antworten nicht mehr nach "oben" geholt, d.h. wenn hier jemand mal 1-2 Wochen nicht ist, wird er dieses Thema kaum mehr in den Hauptforen finden.

Meiner Meinung nach sollte es eher in Ankündigungen oder ähnliches stehen.

Merry Xmas :D

joergh

Odysseus
18.12.2004, 08:58
Wie sieht es denn bzgl. der PHP-Kompatibilät zur aktuellen vB3-Version aus? Veträgt die sich mit allen neuen PHP-Versionen?

Hab's nun seit über einem Tag im Volleinsatz - keinerlei Probleme festzustellen.

ACHTUNG:
PHP 4.3.10 arbeitet NICHT mit bisherigen Versionen des Zend Optimizers zusammen! Dieser muss ebenfalls aktualisiert werden, falls man ihn verwendet!

s.molinari
18.12.2004, 12:56
Zitat aus der Meldung:



@Mystics: Natürlich ist die "Verschiebe-Funktion" klar, nur werden die Hinweise auf verschobene Threads bei Antworten nicht mehr nach "oben" geholt, d.h. wenn hier jemand mal 1-2 Wochen nicht ist, wird er dieses Thema kaum mehr in den Hauptforen finden.

Meiner Meinung nach sollte es eher in Ankündigungen oder ähnliches stehen.

Merry Xmas :D

joerghHi joergh,

Du hast natürlich Recht.

https://forum.vbdev.de/showthread.php?t=14682

Scott

Silmarillion
18.12.2004, 16:07
Hab's nun seit über einem Tag im Volleinsatz - keinerlei Probleme festzustellen.

Kann ich bestätigen. Läuft einwandfrei. Alles andere hätte mich auch gewundert.

mfg

Smoker
18.12.2004, 17:51
Eine Frage ... ich nutze nur das vB3 auf meinem Server + einen kleinen Newsletterscript + kleines GB.

Ich lese hier einige sachen wie z.B. 4.3.10 würde probs mit ( Turck MMCache & bisherigen Versionen des Zend Optimizers etc. ) geben.

Trifft das dann auf mich zu ????

Thxx
Smoker

Mystics
18.12.2004, 22:20
Trifft das dann auf mich zu ????Wenn du die o.g. Produkte einsetzt, womöglich...aber das weißt nur du.

Smoker
19.12.2004, 06:26
Wenn du die o.g. Produkte einsetzt, womöglich...aber das weißt nur du.
Hmmm das dumme ist nur, mir sagen diese sachen garnix :(

bye
Smoker

Christian
19.12.2004, 15:04
Danke für die Info, wir sind nun auch Up-to-Date. ;)

Gruss
Christian