Vier Schwachstellen in PHP
Angreifer können sie für Cross-Site-Skripting-Attacken (XSS) ausnutzen, darüber Sicherheitsrestriktionen umgehen und Apache-Prozesse zum Absturz bringen.
Der Sicherheitsspezialist Maksymilian Arciemowicz berichtet auf seinen Webseiten und der Mailingliste Full Disclosure über vier Schwachstellen in den aktuellen Versionen 5.1.2 und 4.4.2 sowie vorhergehenden Ausgaben der Skriptsprache PHP. Angreifer können sie für Cross-Site-Skripting-Attacken (XSS) ausnutzen, darüber Sicherheitsrestriktionen umgehen und Prozesse des Webservers Apache zum Absturz bringen. Abgesehen vom Apache-Fehler sind die Lücken im Release Candidate 3 von PHP 5.1.3 gestopft, der bislang aber nur über CVS zur Verfügung steht.
Über einen Fehler in der Funktion copy() können am System angemeldete Angreifer den Safe Mode von PHP umgehen, der normalerweise dafür sorgt, dass Anwender nur auf ihre eigenen Dateien Zugriff haben. Bei der Copy-Funktion wird der Safe-Mode-Check auf Quelldateien mit besonderen Pfadangaben allerdings nicht durchgeführt, sodass sich auch Dateien anderer Anwender damit kopieren und auslesen lassen. Insbesondere in Shared-Hosting könnte dies ein Problem darstellen.
Durch eine Lücke in der Funktion tempname() lassen sich die open_basedir-Zugriffsbeschränkungen, einer Alternative zum Safe Mode, austricksen, die ein Ausbrechen des Anwenders aus seinem Heimatverzeichnis verhindern sollen. Mit der Angabe präparierter Pfade im zweiten Argument kann ein Angreifer an beliebigen Orten temporäre Dateien erzeugen, sofern die übergelagerte Rechteverwaltung des Betriebssystems dies erlaubt. Unter Umständen ließe sich dies für Denial-of-Service-Attacken ausnutzen, wenn es gelänge, genügend Speicherplatz zu belegen.
Die Schwachstelle, die zum Absturz führen kann, beruht auf der Selbstreferenzierung. Hier kann ein Angreifer allerdings nur seine eigenen Prozesse abschießen. Eine Lücke in phpinfo() ermöglicht über XSS das Einschleusen von JavaScript in den Browser eines Opfers, mit denen Angreifer beispielsweise Cookies der Anwender auslesen können. Arciemowicz führt in seinen Berichten für alle genannten Lücken Beispiele auf, um die Lecks zu demonstrieren.
Siehe dazu auch: (dab)
- phpinfo() Cross Site Scripting PHP 5.1.2 and 4.4.2, Fehlerreport von Arciemowicz
- function *() php/apache Crash PHP 4.4.2 and 5.1.2, Fehlerreport von Arciemowicz
- tempnam() open_basedir bypass PHP 4.4.2 and 5.1.2, Fehlerreport von Arciemowicz
- copy() Safe Mode Bypass PHP 4.4.2 and 5.1.2, Fehlerreport von Arciemowicz
