Zwischenstand zum Month of PHP Bugs
Dreizehn Lücken in sieben Tagen, das ist der bisherige Zwischenstand der Month of PHP Bugs (MOPB). Ein Buffer Overflow in den Funktionen mssql_connect und mssql_pconnect ist allerdings nicht im Rahmen des MOPB veröffentlicht worden.
- Daniel Bachfeld
Dreizehn Lücken in sieben Tagen, das ist der bisherige Zwischenstand der Month of PHP Bugs (MOPB). Allerdings hat der MOPB bislang eher Dokumentationscharakter, da die Initiatoren größtenteils Informationen über bereits geschlossene Lücken veröffentlichen. Im Gegensatz zu den anderen Month-of-X-Projekten überrascht der MOPB damit zwar weniger, dafür bleiben beim Anwender aber auch weniger Lücken offen, für die es noch keine Patches gibt. Damit dürften sich Befürchtungen, der MOPB würde dem Projekt mehr schaden als nützen, als ungerechtfertigt erweisen.
Neu hinzugekommen sind seit dem letzen MOPB-Bericht Lücken in der PHP-4-Extension Ovrimos, mit der sich Code auf einem System ausführen ließ, sowie ein Fehler im Apache-Modul mod_security, durch den der Filter ausgetrickst werden konnte. Da mod_security nicht zu PHP gehört, sondern nur im Zusammenhang mit PHP eingesetzt wird, haben die Initiatoren den Fehlerbeicht mit dem Zusatz "BONUS" gekennzeichnet. Durch Fehler bei der Deserialisierung von Session-Informationen in WDDX und php_binary lassen sich zudem unter Umständen Informationen ausspähen.
Eine weitere Lücke in der aktuellen PHP-Version 4.4.6 ist allerdings nicht im Rahmen des MOPB veröffentlicht worden: Ein Buffer Overflow in den Funktionen mssql_connect und mssql_pconnect soll sich lokal ausnutzen lassen, um den Stack zu manipulieren. Ein Exploit ist bereits öffentlich verfügbar, Berichten zufolge bringt er den Webserver zum Absturz.
Siehe dazu auch:
- the Month of PHP Bugs, Projektseite zum MOPB
- HP <= 4.4.6 mssql_connect() & mssql_pconnect() local buffer overflow, Fehlerbericht von retrogod
(dab)
