03.02.2012
Sicherheit
PHP: Sicherheitsupdate für das Sicherheitsupdate
Autor: Thorsten Eggeling
Eine kritische Lücke in der PHP-Version 5.3.9 ermöglicht Angreifern das Einschleusen und Ausführen von Schadcode. Der Fehler liegt in einem erst kürzlichen veröffentlichten Sicherheitsupdate.
Eigentlich sollte das am 11. Januar 2012 veröffentlichte Update auf PHP 5.3.9 Hash-Kollisionen und damit DoS-Angriffe verhindern. Die Entwickler haben mit dem Update die Anzahl der Eingabeparameter in php_variables.c über max_input_vars auf höchstens 1000 beschränkt. Allerdings ist ihnen dabei ein Fehler unterlaufen. Dieser ermöglicht Angreifern, die Höchstgrenze zu überschreiten und beliebigen Code in eine Web-Anwendung einzuschleusen und auszuführen.
Stefan Esser, der Entdecker der Lücke, beruhigt aber besorgte Anwender. Die mit seiner Unterstützung entwickelte Sicherheitserweiterung Suhosin, die bei den meisten Server-Systemen installiert sein sollte, erschwere die Ausnutzbarkeit beträchtlich. Um das Problem auch ohne Suhosin zu umgehen, schlägt Esser vor, bis zum endgültigen Update die PHP.ini-Variable max_input_vars auf eine Zahl von etwa einer Milliarde zu einzugeben. Das ermöglicht zwar wieder Denial-of-Service-Attacken, ist aber lange nicht so gefährlich.
Inzwischen haben die PHP-Entwickler die Version 5.3.10 veröffentlicht, in der der Fehler behoben ist. Für Red Hat Enterprise Linux beispielsweise gibt es schon Update-Pakete. Bis die anderen Distributionen nachziehen, kann es aber noch einige Zeit dauern.
Google I/O 2024
Google Gemini ermöglicht mehr Funktionen und Individualität
Der große Star bei der diesjährigen Google-Entwicklerkonferenz I/O war Gemini. Die KI-Technologie hält Einzug in diverse Anwendungen und bietet neue Möglichkeiten bei der Entwicklung und Nutzung bekannter und neuer Google-Apps.
>>
Auf der Anga Com
AVM zeigt mit der FritzBox 5690 Pro sein neues Top-Modell
Der Berliner Hersteller AVM nutzt die Breitbandmesse Anga Com, um einige neue FritzBox-Modelle vorzustellen. Darunter sein neues Flaggschiff 5690 für den Glasfaser- und DSL-Anschluss. Es soll im Sommer auf den Markt kommen.
>>
Open Access
Plusnet und Deutsche Giganetz kooperieren
Die Deutsche Giganetz GmbH schließt sich der Open Access Plattform von Plusnet an. Durch die Kooperation kann Plusnet auf 500.000 Glasfaseranschlüsse in elf Bundesländern zugreifen.
>>
Konferenz
Microsoft Build vom 21. bis 23 Mai
Für die Build 2024 plant Microsoft ein umfangreiches Programm mit über 100 Sessions. Viele Neuigkeiten soll es geben - vor allem zum Thema Künstliche Intelligenz.
>>