xwolf: PHP-Bug in 4.2.0 und 4.2.1 und POST-Requests

SELF-Forum

PHP-Bug in 4.2.0 und 4.2.1 und POST-Requests

xwolf
Informationen zu den Bewertungsregeln

Hi,

im aktuellen Bug von PHP, der die Versionen  4.2.0 und 4.2.1
betrifft, geht der Angreifer ueber POST-Requests ein, weswegen
die Entwickler vorschlagen, fuer den gesamtem Server POST
abzuschalten...

(klar, wenn PHP nicht laeuft, macht ja auch ein Webserver sonst keinen Dienst, gell? :/ )

(http://security.e-matters.de/advisories/022002.html

Frage an die PHP-Spezialisten: Waere es nicht ausreichend in der
php.ini die Parameter

; Maximum size of POST data that PHP will accept.
post_max_size = 8M

auf 0M zu aendern und

; This directive describes the order in which PHP registers GET, POST, Cookie,
; Environment and Built-in variables (G, P, C, E & S respectively, often
; referred to as EGPCS or GPC).  Registration is done from left to right, newer
; values override older values.
variables_order = "EGPCS"

das 'P' zu nehmen?

In anderen Worten: Gibt es eine gangbaere Moeglichkeit, neben den Patchen, POST nur fuer PHP zu verbieten, jedoch den restlichen Server in Ruhe zu lassen?

Ciao,
  Wolfgang

Beitrag melden
Informationen zu den Bewertungsregeln

  1. PHP-Bug in 4.2.0 und 4.2.1 und POST-Requests

    Mulder
    Informationen zu den Bewertungsregeln

    Frage an die PHP-Spezialisten: Waere es nicht ausreichend in der
    php.ini die Parameter

    ; Maximum size of POST data that PHP will accept.
    post_max_size = 8M

    auf 0M zu aendern und

    Denke nicht.

    ; This directive describes the order in which PHP registers GET, POST, Cookie,
    ; Environment and Built-in variables (G, P, C, E & S respectively, often
    ; referred to as EGPCS or GPC).  Registration is done from left to right, newer
    ; values override older values.
    variables_order = "EGPCS"

    das 'P' zu nehmen?

    Nochmal nö. Der Bug liegt AFAIK in der Speicherung der Post-Variablen, und das passiert, *bevor* PHP sich um seine .ini-Einstellungen kümmert.

    Beitrag melden
    Informationen zu den Bewertungsregeln

  2. PHP-Bug in 4.2.0 und 4.2.1 und POST-Requests

    Andreas
    Informationen zu den Bewertungsregeln

    Hi!
    Vermutlich wären die Entwickler selber auf die Idee gekommen, oder?
    Aber es gibt ja das Patch!
    Grüße
    Andreas

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. PHP-Bug in 4.2.0 und 4.2.1 und POST-Requests

      Harry Homepage des Autors
      Informationen zu den Bewertungsregeln

      Holla

      Vermutlich wären die Entwickler selber auf die Idee gekommen, oder?

      Denke ich auch.
      Einzige Möglichkeit wäre - wenn das geht - über die webserver-Konfiguration POSTs an PHP-Scripte zu verbieten. Ob und wie das geht weiß ich aber wie gesagt net.

      Aber es gibt ja das Patch!

      Patch hin oder her - Du mußt den Laden neu kompilieren. Und je nachdemwie Du Deinen Apachen aufgebaut hast (nicht jeder hat DSO-Support reinkompiliert) mußt Du den kompletten Webserver neu kompilieren - würg.

      Ciao,

      Harry

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. PHP-Bug in 4.2.0 und 4.2.1 und POST-Requests

        ich
        Informationen zu den Bewertungsregeln

        Holla

        Tag!

        Einzige Möglichkeit wäre - wenn das geht - über die webserver-Konfiguration POSTs an PHP-Scripte zu verbieten. Ob und wie das geht weiß ich aber wie gesagt net.

        <FilesMatch "*(.php|.phtml)$">
         <Limit POST>
          Order Allow,Deny
          Deny from all
          Satisfy all
         </Limit>
        </FilesMatch>

        Sowas in der Art müßte da verwendet werden um per Webserverconfiguration POST für bestimmte Dateien zu verbieten.

        bye
        ich

        Beitrag melden
        Informationen zu den Bewertungsregeln