MOPB:Alte Lücke in neuer PHP-Version
Das Projekt Month of PHP Bugs hat weitere Sicherheitslücken in PHP offengelegt. Eine Lücke betrifft aktuelle PHP4-Versionen und wurde eigentlich schon einmal behoben.
Beim Month of PHP Bugs (MOPB) haben die Initiatoren Schwachstellen in der Zend-Engine, PHP4 und in der aktuellen Entwicklerversion der Skriptsprache veröffentlicht. Für einige der Fehler stehen bereits aktualisierte Software-Fassungen bereit.
Einer der gemeldeten Fehler betrifft die PHP-Versionen 4.4.3 bis zur aktuellen Fassung 4.4.6. Die Funktion phpinfo() liefert Informationen über die PHP-Umgebung einschließlich der Inhalte der Variablen, die bei der Anfrage übergeben wurden. Eine Cross-Site-Scripting-Schwachstelle (XSS) kommt dadurch zustande, dass diese Variablen nicht korrekt gefiltert werden. In PHP 4.4.1 haben die Entwickler das Problem behoben, allerdings fehlerhaft. Daher hielt eine Rückportierung der korrekten Funktionen aus PHP5 Einzug in den 4er-Zweig – allerdings wiederum fehlerhaft, sodass die Funktion in PHP4 weiterhin für XSS anfällig ist.
In der Entwicklerversion (CVS) von PHP haben die Entwickler bei dem Versuch, unsichere Funktionsaufrufe beispielsweise von strncpy oder sprintf durch die Ersetzung mit den Funktionen strlcpy oder spprintf auszubessern, ein neues Sicherheitsleck aufgerissen. Ihnen ist dabei ein Fehler in den WDDX-Funktionen unterlaufen, die zum Datenaustausch zwischen Webanwendungen dienen. Durch die Verwendung eines strlcpy anstatt eines strlcat kann jetzt ein Pufferüberlauf bei der Verarbeitung von präparierten WDDX-Paketen auftreten.
Als "Bonus" sind zwei Sicherheitslücken in der Zend-Plattform markiert. Durch die Vergabe unsicherer Dateirechte können Angreifer, die beispielsweise durch eine Lücke in PHP in den Server eingedringen, ihre Rechte bis zur root-Ebene erhöhen. Außerdem ermöglicht eine weitere Schwachstelle das Modifizieren der php.ini und in Folge ebenfalls die Ausweitung der Rechte. Die Fehler betreffen die Zend-Plattform in Version 2.2.3 und vorherige, ein Update auf Version 3 schließt die Lücken.
Siehe dazu auch:
- Zend Platform Insecure File Permission Local Root Vulnerability, Fehlermeldung vom MOPB-Projekt
- Zend Platform ini_modifier Local Root Vulnerability, Sicherheitsmeldung vom MOPB-Projekt
- PHP 4 phpinfo() XSS Vulnerability (Deja-vu), Sicherheitsmeldung vom MOPB-Projekt
- PHP wddx_deserialize() String Append Buffer Overflow Vulnerability, Fehlerbericht vom MOPB-Projekt
- Download der aktuellen Zend-Versionen
(dmk)
