xwolf: Sicherheitsloch in file_upload()

Hi,

da ist seit vorgestern ein kritischer Bug in PHP veröffentlicht,
welcher wohl auch bereits von einigen Hackern gezielt mit Hilfe eines Exploids ausgenutzt wird, und trotzdem keine Meldung darüber hier auf
dem Forum....

Sind Sicherheitslöcher eigentlich schon so normal in PHP,
dass man sie -ähnlich wie bei Microsoft Software- nur noch
hinnimmt ? :)

(Und wieso eigentlich ist per Default bei PHP der Dateiupload
möglich? Allein, das die Funktion enabled ist für Otto-Normal-Webmaster
auf dem Server finde ich etwas seltsam, ist doch gerade
sowas sehr leicht zu missbrauchen...)

Nun ja...

Wer genaueres wissen will, lese mal hier:

http://security.e-matters.de/advisories/012002.html
http://www.heise.de/newsticker/data/ju-28.02.02-000/

Ciao,
  Wolfgang

  1. Sup!

    <unqualifizierte Hetze>
    Na, was hätte man sonst vom Pitiful Hilarious Poo-Poo-cessor erwartet?
    Ich hab' ja immer gesagt, daß PHP schlecht ist - neuerdings muss man auch die Form-Variablen wieder aus einem Hash holen - das fand ich noch das beste an PHP, daß man die Variablen einfach so verwenden konnte.
    Aber das geht dann wohl doch einfacher, wenn man mit Perl die ganzen CGI-Variablen in den Namespace importiert...

    Man kann nur hoffen, daß CK's PHP-Seiten nicht defaced werden - wär' doch peinlich für einen BSD-ler ;-)
    </unqualifizierte Hetze>

    Gruesse,

    Bio

    1. Hoi,

      neuerdings muss man auch die Form-Variablen wieder aus einem Hash holen

      • das fand ich noch das beste an PHP, daß man die Variablen einfach so
        verwenden konnte.

      Das kann man einstellen, in der php.conf.

      Aber das geht dann wohl doch einfacher, wenn man mit Perl die ganzen
      CGI-Variablen in den Namespace importiert...

      Wie willst du das denn 'use strict'-gerecht hinbekommen?

      Man kann nur hoffen, daß CK's PHP-Seiten nicht defaced werden - wär' doch
      peinlich für einen BSD-ler ;-)

      Seit wann hab ich 'PHP-Seiten'? ;-)

      Gruesse,
       CK

      1. Sup!

        Wie willst du das denn 'use strict'-gerecht hinbekommen?

        Wenn Du es nicht weisst, dann solltest Du vielleicht Cheatah fragen ;-)
        Vielleicht sollte man einfach den Paranoia-Mode ausschalten und strict rauswerfen - oder wird dadurch das Programm irgendwie sicherer? Man kann ja auch my-Variablen benutzen, ohne daß man use strict drin hat, denke ich mal so.

        Seit wann hab ich 'PHP-Seiten'? ;-)

        Hast Du nicht?
        Was benutztest Du denn da auf wwwtech sonst, was die lustigen Fehlermeldungen warf, als die Quota alle war? ;-)

        Gruesse,

        Bio

        1. Hoi,

          Wie willst du das denn 'use strict'-gerecht hinbekommen?

          Wenn Du es nicht weisst, dann solltest Du vielleicht Cheatah fragen ;-)
          Vielleicht sollte man einfach den Paranoia-Mode ausschalten und strict
          rauswerfen - oder wird dadurch das Programm irgendwie sicherer? Man kann ja
          auch my-Variablen benutzen, ohne daß man use strict drin hat, denke ich mal
          so.

          Sicher kann man. Man kann sich aber auch ins Knie schiessen dabei.

          Seit wann hab ich 'PHP-Seiten'? ;-)

          Hast Du nicht?
          Was benutztest Du denn da auf wwwtech sonst, was die lustigen Fehlermeldungen
          warf, als die Quota alle war? ;-)

          Och, das wahr mal. Ist lange her. Im Moment ist gar nix drauf auf wwwtech, ausser
          dem SBU.

          Gruesse,
           CK

      2. Moin!

        Aber das geht dann wohl doch einfacher, wenn man mit Perl die ganzen
        CGI-Variablen in den Namespace importiert...

        Wie willst du das denn 'use strict'-gerecht hinbekommen?

        Schau Dir mal Exporter::import an, da steht das alles drin. ;-)

        So long

  2. hi

    da ist seit vorgestern ein kritischer Bug in PHP veröffentlicht,
    welcher wohl auch bereits von einigen Hackern gezielt mit Hilfe eines Exploids ausgenutzt wird, und trotzdem keine Meldung darüber hier auf
    dem Forum....

    och.. das eine Loch.. lass es man gedeihen....:)

    gerade mal nachgezählt - Microsoft hat nicht weniger als 41 Löcher in 2002 gesammelt (laut securityfocus.com). Das ist also fast 1 Loch am Tag..