Web

 

CERT warnt vor Sicherheitslücken in PHP

28.02.2002

MÜNCHEN (COMPUTERWOCHE) - Das Computer Emergency Response Team (CERT) warnt vor mehreren Sicherheitslücken in PHP (Personal Home Page Tools). Die Sever-basierende Scriptsprache dient zum Aufbau dynamischer Websites und hat sich in den letzten Jahren stark verbreitet.

Die Bugs, die die Sicherheitsspezialisten von E-Matters entdeckt haben, betreffen unter anderem so genannte POST-Datei-Uploads und die PHP-Mime-Split-Funktion in den Programmversionen 3.10 bis 4.1.1. Dadurch können Angreifer beliebigen Code auf dem Web-Server ausführen. Obwohl Hacker sicher Tools haben, mit denen sie die Fehler ausnutzen können, hält Johannes Ullrich, Cheftechniker des SANS-Institute (System Administration, Networking, and Security), Angriffe für unwahrscheinlich. Denn laut Ullrich ist es sehr schwer, an die Lücken heranzukommen.

Dennoch empfehlen Ullrich und die PHP-Entwicklergruppe, auf die Version 4.1.2 der Scriptsprache aufzurüsten, in der die Fehler behoben sein sollen. (lex)