PHProjekt führt fremde Skripte aus
Sicherheitslücken in PHProjekt ermöglichen es Angreifern, eigene PHP-Skripte auf dem Server auszuführen.
- Daniel Bachfeld
Der PHP-Sicherheitsspezialist Stefan Esser berichtet über Sicherheitslücken in der Open-Source-Groupware-Lösung PHProjekt, über die Angreifer eigene Skripte, etwa über externe Webseiten einbinden und im Kontext des Servers ausführen können. Betroffen ist die Version 5.1.1 sowie vorhergehende. Versionen vor 5.0 sind laut Bericht nicht verwundbar. Die Entwickler haben den Fehler in Version 5.1.2 behoben und empfehlen dringend, diese zu installieren. Ein ähnliche Lücke in PHProjekt wurde erst Mitte August geschlossen.
Ursache des Problems sind laut Esser mehrere Pfadvariablen, deren Inhalt nicht geprüft wird. Um zukünftig solche Probleme unter PHP zu vermeiden, empfiehlt Esser die Installation der Sicherheitserweiterung Suhosin. Die Erweiterung soll Server und Anwender vor bekannten und unbekannten Schwachstellen in PHP-Anwendungen und PHP selbst schützen. Unter anderem patcht die Erweiterung den PHP-Kern, um einen Schutz vor Buffer Overflows und Format-String-Schwachstellen hinzuzufügen.
Siehe dazu auch: (dab)
- New release 5.1.2 with security update, Ankündigung von PHProjekt
- PHProjekt (Remote) Include Vulnerabilities, Fehlerbericht von Stefan Esser