PHProjekt fĂĽhrt fremde Skripte aus
Sicherheitslücken in PHProjekt ermöglichen es Angreifern, eigene PHP-Skripte auf dem Server auszuführen.
- Daniel Bachfeld
Der PHP-Sicherheitsspezialist Stefan Esser berichtet über Sicherheitslücken in der Open-Source-Groupware-Lösung PHProjekt, über die Angreifer eigene Skripte, etwa über externe Webseiten einbinden und im Kontext des Servers ausführen können. Betroffen ist die Version 5.1.1 sowie vorhergehende. Versionen vor 5.0 sind laut Bericht nicht verwundbar. Die Entwickler haben den Fehler in Version 5.1.2 behoben und empfehlen dringend, diese zu installieren. Ein ähnliche Lücke in PHProjekt wurde erst Mitte August geschlossen.
Ursache des Problems sind laut Esser mehrere Pfadvariablen, deren Inhalt nicht geprĂĽft wird. Um zukĂĽnftig solche Probleme unter PHP zu vermeiden, empfiehlt Esser die Installation der Sicherheitserweiterung Suhosin. Die Erweiterung soll Server und Anwender vor bekannten und unbekannten Schwachstellen in PHP-Anwendungen und PHP selbst schĂĽtzen. Unter anderem patcht die Erweiterung den PHP-Kern, um einen Schutz vor Buffer Overflows und Format-String-Schwachstellen hinzuzufĂĽgen.
Siehe dazu auch: (dab)
- New release 5.1.2 with security update, AnkĂĽndigung von PHProjekt
- PHProjekt (Remote) Include Vulnerabilities, Fehlerbericht von Stefan Esser
