ThWboard Support-Forum (Archiv)

Ort: / Boardübersicht / Allgemein / heise: Schwachstellen in PHP-Modulen gefährden zahlr. Webapps


Seite 1 von 1

hevtig schrieb am 15.08.2005 um 18:18 Uhr

Schwachstellen in PHP-Modulen gefährden zahlreiche Webapplikationen

http://www.heise.de/security/news/meldung/62827

Webanwendungen, die auf PHP beruhen und in denen Funktionen für XML-RPC zum Einsatz kommen, laufen Gefahr, geknackt zu werden. Nach Angaben des Sicherheits- und PHP-Spezialisten Stefan Esser sind in PHPXMLRPC und dessen Ableger PEAR XML_RPC Sicherheitslücken enthalten, mit denen Angreifer eigenen PHP-Code einschleusen und im Kontext des Webservers ausführen können. Gemäß der zwei von Esser veröffentlichten Advisorys ist der Fehler in den Funktionen zu finden, die XMLRPC-Anfragen und -Antworten verarbeiten. Anzeige


Zentrale Rolle spielt wieder einmal die Funktion eval(), die auch bereits Anfang Juni in den genannten Modulen Löcher aufriss. Esser weist allerdings in seinen Reports darauf hin, dass die Probleme diesmal nicht von fehlerhaftem Escaping von Nutzereingaben herrühren. Stattdessen bietet diesmal die Auswertung der in Dokumenten eingebetteten XML-Tags Angreifern die Gelegenheit, Schadcode auszuführen.

Zusammen mit den Entwicklern ist man das Problem angegangen und hat eine zusätzliche Prüfung der Tags eingebaut. Darüberhinaus wurden noch sämtliche eval()-Aufrufe eliminiert, um zukünftigen darauf basierenden Angriffen vorzubeugen. Die aktualisierten Versionen von PHPXMLRPC und PEAR XMP_RPC stehen zum Download bereit. Betreiber von Webapplikationen sollten in den nächsten Tagen auf Advisorys der Hersteller achten. Sehr wahrscheinlich sind zahlreiche Content-Management-Systeme und Wikis betroffen. Für das CMS Drupal ist bereits ein Security Advisory erschienen.

Siehe dazu auch:

PEAR XML_RPC Remote PHP Code Injection Vulnerability, Fehleranalyse von Stefan Esser
PHPXMLRPC Remote PHP Code Injection Vulnerability, Fehleranalyse von Stefan Esser

(dab/c't)

betrifft uns das auch?

bdominik schrieb am 15.08.2005 um 18:31 Uhr

Nein, die betreffenden Module werden nicht verwendet. Ich kann natürlich nur für ein vanilla thwb sprechen.

Gruß
TO

Seite 1 von 1