|
PHP-Schwachstelle ermöglicht das Umgehen von EinstellungenSie befinden sich: Home > Webmaster News Eine Schwachstelle in den aktuellen PHP-Versionen erlaubt Angreifern, Sicherheitseinstellungen zu umgehen. Das Problem kann auftreten, wenn PHP als Apache-Modul eingesetzt wird, was häufig in Shared-Hosting-Umgebungen der Fall ist. Anzeige Die Systemeinstellungen mit php_admin_value aus der php.ini lassen sich üblicherweise nicht durch Apache-Konfigurationsdateien wie .htaccess überschreiben. Läuft PHP als Apache-Modul, kann der Administrator jedoch in der Apache-Konfiguration von der php.ini abweichende Werte einstellen. In den aktuellen PHP-Versionen 5.1.6 und 4.4.4 sowie möglicherweise älteren ist es Angreifern durch einen Fehler möglich, mit der Funktion ini_restore() den Variablenwert aus der php.ini wiederherzustellen. Die bei Shared-Hosting-Unternehmen sehr häufig anzutreffende PHP-Konfiguration setzt in der php.ini die Standardwerte für safe_mode auf off und für open_basedir keinen Wert. Meist werden erst in der Apache-Konfiguration für die virtuellen Hosts die korrekten Werte gesetzt. Die Schwachstelle öffnet für Schädlinge, die über Lücken in PHP-Skripten in das System eindringen, Tür und Tor, um weitergehenden Schaden am System anzurichten. Laut dem Entdecker der Lücke, Maksymilian Arciemowicz, ist der Fehler
in den PHP-Quellen des Versionsverwaltungssystems schon behoben, wann eine fehlerbereinigte
PHP-Version erscheinen wird, jedoch noch unklar. Eingetragen am 21.09.2006 
Letzten Webmaster News 15.04.2024 - PHP schließt kritische Sicherheitslücken in neuesten Releases Schreib ein Kommentar |
||||||||
|
|||||||||
|
|
