Pufferueberlauf und Denial-of-Service in PHP
Sie befinden sich: Home > News Archiv > Webmaster > Pufferueberlauf und ...
Der Sicherheitsdienstleister Infigo hat mehrere Schwachstellen in den aktuellen PHP -Versionen gefunden, über die Angreifer aus dem Netz eine Denial-of-Service-Attacke (DoS) initiieren oder beliebigen Code ausführen könnten.Ein Heap-basierter Pufferüberlauf sowie ein DoS betreffen sowohl PHP 4.4.2 und 5.1.2, ein weiterer DoS ist nur unter PHP 5.1.2 möglich.
Die Funktion wordwrap() berechnet bei sehr langen Zeichenketten eine Integervariable falsch, da diese überlaufen kann und in Folge einen zu kleinen Wert enthält. Später fordert PHP mit diesem Wert einen Speicherpuffer an, in den die zu große Zeichenkette kopiert wird.
Übergibt ein Anwender der Funktion array_fill(int start_index, int num, mixed value) einen großen Wert für num Einträge, kann dadurch der komplette Speicher in kurzer Zeit aufgebraucht werden und so das System zum Stillstand kommen. Hierzu muss der Administrator in der php .ini jedoch einen großen Wert als memory limit konfiguriert haben.
Ausschließlich in PHP 5.1.2 kann aufgrund einer fehlerhaften Eingabeprüfung in der Funktion substr_compare(string main_str, string str, int offset [, int length [, bool case_insensitivity]]) zu einer Speicherzugriffsverletzung kommen, wenn dem Längenparameter ein Wert zugewiesen wird, der größer als die Länge der Zeichenkette abzüglich des Offsets ist.
Infigo hat seiner Sicherheitsmeldung zufolge die PHP -Entwickler mehrmals seit dem 2. März kontaktiert, jedoch keine Rückmeldung von ihnen erhalten. Daher stehen für die Schwachstellen noch keine Patches bereit.
Siehe dazu auch:
- Multiple PHP4/PHP5 vulnerabilities , Sicherheitsmeldung von Infigo
- Download der aktuellen PHP -Versionen
(Quelle: heise.de )
service php
Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • Token-Explosion: So ruinieren MCP-Server Ihren Coding-Workfl... MCP-Server wirken wie clevere Helfer, doch sie können Ihren KI-Co... |
| • Neue Hürden für Entwickler: So meistern Sie den raueren Arbe... Die Suche nach Programmierjobs wird zur Herausforderung. Automatisieru... |
| • FAIR ersetzt WordPress.org-API mehr Kontrolle für Entwickle... Die Linux Foundation startet mit FAIR einen neuen, dezentralen Paketma... |
| • GitHub-Sicherheitslücke: Private und gelöschte Repos bleiben... GitHub hat ein erhebliches Sicherheitsproblem: Gelöschte und private R... |
| • Barrierefreiheitsstärkungsgesetz: Website-Sperrung für Firme... Unternehmen in Deutschland stehen unter enormem Druck: Bis Juni 2025 m... |
| • Supply-Chain-Attacke: Polyfill.io verteilt Schadcode über CD... Mehrere Sicherheitsforscher warnen vor einer aktiven Bedrohung durch d... |
| • Kritische PHP-Schwachstelle unter Windows entdeckt PHP-Entwickler haben ein neues Sicherheitsupdate veröffentlicht, ... |
| • Ab Juli: Google indexiert nur noch mobilfähige Websites Eigentlich schien Googles Mobile-First-Offensive abgeschlossen. Aber d... |
| • Gitlab warnt vor Account-Ãœbernahmen durch XSS-Schwachstelle Gitlab hat eine schwerwiegende Sicherheitslücke in mehreren Versionen ... |
| • Bing stellt vor: Top Insights für maximale Website-Performan... Mit den neuen Top Insights von Bing Webmaster Tools optimieren Sie Ihr... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.