Schwachstelle in PHP - Umgehung von Einstellungen möglich

**WarrenFaith** · 12.09.2006 16:07

Wie Heise berichtet, kann durch den Einsatz von PHP als Apache-Modul mit der Funktion ini_restore() unsichere Einstellungen geladen werden.
Grund dafür ist (meist in Shared-Hosting-Umgebungen), dass in der php.ini safe_mode off und open_basedir ohne Wert gesetzt werden und erst später mittels Apachekonfiguration für die Virtual Hosts die Einstellungen korrekt angepasst werden. Durch ini_restore ist es allerdings möglich, die Werte aus der php.ini erneut zu laden und damit die Apachekonfiguration auszuschalten.
Dadurch können weitreichende Schäden im System verursacht werden.

Im CVS-Developerzweig von PHP soll der Fehler behoben sein, wann eine neue Version rauskommt, steht noch nicht fest.

Quelle: Heise.de Newsticker

**MrNiceGuy** · 13.09.2006 06:19

Wozu patchen? Der "Fehler" ist in Wirklichkeit doch garnicht unbedingt einer, denn schließlich ist das Umgehen nur dann möglich, wenn die php.ini wirklich die Default-Werte beinhaltet. Einfach safe_mode standardmäßig auf off setzen und als open_basedir nen leeren Temporären Pfad angeben, dann kann niemand Schaden anrichten und es braucht niemand auf die Funktion ini_restore () verzichten ;)

**Jann Hendrik** · 13.09.2006 09:19

ist das noch zu früh für mich?

Ich habe das so verstanden, dass das Problem besteht, wenn in der php.ini nichts eingetragen ist...

Bitte um Aufklärung.

**WarrenFaith** · 13.09.2006 11:14

Problem ist wenn die php.ini ungenügend konfiguriert ist und das nur über den apache gemacht wird. Weil mit dem Fehler können die Apachewerte ausgehebelt und die der php.ini geladen werden.

Ein fehler ist es @MrNiceGuy, weil gerade bei Hostern wo man selbst keine Chance hat zu konfigurieren, wäre das definitiv gefährlich.

**Jann Hendrik** · 13.09.2006 11:58

ok. danke.

**schifti** · 13.09.2006 19:52

Zitat von WarrenFaith

Ein fehler ist es @MrNiceGuy, weil gerade bei Hostern wo man selbst keine Chance hat zu konfigurieren, wäre das definitiv gefährlich.

Auch wenn PHP als CGI läuft? Wenn ich es richtig weiss dann nicht (nur wenn PHP als mod läuft)

**dejan_spasic** · 14.09.2006 11:04

Zitat von schifti

Auch wenn PHP als CGI läuft? Wenn ich es richtig weiss dann nicht (nur wenn PHP als mod läuft)

Zitat von WarrenFaith

Wie Heise berichtet, kann durch den Einsatz von PHP als Apache-Modul mit der Funktion ini_restore() unsichere Einstellungen geladen werden.

Das steht es doch... :)

**dejan_spasic** · 14.09.2006 14:02

Ich muss wirklich sagen das die 5.1.x Reihe garnicht unter einen guten Stern geboren wurde. Fast nach jeden Release folgte ein "Reloaded release". Angefangen hat es schon mit 5.1 und der Date-Klasse. Ich glaube ein paar Tage später gab es schon PHP 5.1.1. Dann die Panne mit dem von bug #37276 in 5.1.3 wo zwei Tage später 5.1.4 veröffentlicht wurde. Dazwischen immer wieder Sicherheitslücken die eine safe_mode oder open_basdir Direktive umgehen. Da kann ein Admin von meherer Shared-Hoster einem nur leid tun.

Ich hoffe das die 5.2.x Freigaben besser laufen werden.

**WarrenFaith** · 14.09.2006 14:16

Ich denke das ist auch ein Grund, warum PHP5 generell bei Hostern noch recht schlecht verbreitet ist.

**Jann Hendrik** · 14.09.2006 17:40

Zitat von WarrenFaith

Ich denke das ist auch ein Grund, warum PHP5 generell bei Hostern noch recht schlecht verbreitet ist.

dazu:

http://forum.developers-guide.net/showthread.php?t=4413

Thema: Schwachstelle in PHP - Umgehung von Einstellungen möglich

LinkBack

Themen-Optionen

Thema durchsuchen

Schwachstelle in PHP - Umgehung von Einstellungen möglich

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

PHP 5.2 Kompilierung schlägt fehl

[Rezension] PHP 5 Kochbuch

PHP 5.1.5, PHP 4.4.4 und PHP 5.2.0 RC2 veröffentlicht

PHP 5.1 ist drausen

Neue PHP "release candidates": PHP 4.4.2 RC 1 und PHP 5.1 RC 6

Lesezeichen

Lesezeichen

Berechtigungen