|
Pufferueberlauf und Denial-of-Service in PHPSie befinden sich: Home > Webmaster News
Der Sicherheitsdienstleister Infigo hat mehrere Schwachstellen in den aktuellen PHP -Versionen gefunden, über die Angreifer aus dem Netz eine Denial-of-Service-Attacke (DoS) initiieren oder beliebigen Code ausführen könnten. Ein Heap-basierter Pufferüberlauf sowie ein DoS betreffen sowohl PHP 4.4.2 und 5.1.2, ein weiterer DoS ist nur unter PHP 5.1.2 möglich. Die Funktion wordwrap() berechnet bei sehr langen Zeichenketten eine Integervariable falsch, da diese überlaufen kann und in Folge einen zu kleinen Wert enthält. Später fordert PHP mit diesem Wert einen Speicherpuffer an, in den die zu große Zeichenkette kopiert wird. Übergibt ein Anwender der Funktion array_fill(int start_index, int num, mixed value) einen großen Wert für num Einträge, kann dadurch der komplette Speicher in kurzer Zeit aufgebraucht werden und so das System zum Stillstand kommen. Hierzu muss der Administrator in der php .ini jedoch einen großen Wert als memory limit konfiguriert haben. Aufgrund einer fehlerhaften Eingabeprüfung in PHP 5.1.2 kann es zu einer Speicherzugriffsverletzung kommen, wenn dem Längenparameter ein Wert zugewiesen wird, der größer ist als die Länge der Zeichenkette abzüglich des Offset. Infigo hat seiner Sicherheitsmeldung zufolge die PHP -Entwickler mehrmals seit dem 2. März kontaktiert, jedoch keine Rückmeldung von ihnen erhalten. Daher stehen für die Schwachstellen noch keine Patches bereit. Siehe dazu auch:
Eingetragen am 01.05.2006 
Letzten Webmaster News 15.04.2024 - PHP schließt kritische Sicherheitslücken in neuesten Releases Schreib ein Kommentar |
||||||||
|
|||||||||
|
|
