Twee kwetsbaarheden in PHP gevonden
Programma: PHP
Versie: 4.3.7 en alle versies daaronder en PHP 5.0 t/m 5.0.0RC3
Besturingssysteem: Windows, UNIX, Linux, Apple Macintosh
Samenvatting
PHP heeft een update uitgebracht waarin twee kritische problemen worden opgelost. PHP is een (gratis) open-source scripttaal die met behulp van webserver-software (meestal Apache) werkt. PHP maakt het mogelijk dynamische websites te maken en wordt steeds vaker toegepast.
Er zijn twee beveiligslekken ontdekt die zijn opgelost in nieuwe versies van het product. Als u gebruik maakt van PHP 4.3.7 en daaronder, of van PHP 5.0.0CR3 raden wij u aan de laatste versies van deze producten installeren.
Gevolgen
Er zijn twee kwetsbaarheden die elk hun eigen gevolgen kennen. Een van de kwetsbaarheden maakt het mogelijk willekeurige code uit te voeren op het systeem waar PHP draait.
De andere kwetsbaarheid kan worden uitgebuit als er een verbinding naar de webserver wordt gemaakt met de Internet Explorer of Safari webbrowser. Doordat deze twee browsers bepaalde foutief ingevoerde URL's negeren kan dit een aanval naar de webserver veroorzaken.
Oplossingen
De laatste versies van PHP (4.3.8 of 5.0) zijn hier beschikbaar :
http://www.php.net/downloads.php
Mandrake Linux heeft installatie pakketen beschikbaar gesteld op :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:068
Suse Linux heeft installatie pakketen beschikbaar gesteld op :
http://www.suse.com/de/security/2004_21_php4.html
Links
http://security.e-matters.de/advisories/112004.html
http://security.e-matters.de/advisories/122004.html
Technische details
Hier volgt een beschrijving van de twee gevonden kwetsbaarheden:
PHP memory_limit kwetsbaarheid:
In de configuratie van PHP bestaat de setting memory_limit. Deze setting bepaalt hoeveel geheugen een script maximaal mag gebruiken. Zo kan worden voorkomen dat een slecht geschreven script al het geheugen van de server opslokt. De waarde van deze setting wordt bepaald in bytes. Wanneer u gebruik maakt van deze setting, bent u vatbaar voor een fout in PHP waardoor willekeurige code op het systeem kan worden uitgevoerd.
PHP "Strip_tags()" kwetsbaarheid:
Binnen PHP is een functie ingebouwd die het mogelijk maakt om foutieve HTML en PHP tags van een string af te halen. Zo kan cross-site scripting worden voorkomen. Met extra parameters in een string kan ook worden opgegeven welke tags niet moeten worden verwijderd. Door een fout in PHP kan een gebruiker, door extra parameters op te geven, gevaarlijk tags meesturen, die door de Strip_tags functie worden genegeerd. Hierdoor wordt een cross-site scripting attack mogelijk. Normaal gesproken worden gevaarlijke tags door de browser al afgevangen, echter blijkt dat Internet Explorer en Safari over een "functionaliteit" beschikken die deze gevaarlijk tags gewoon accepteert. Deze browsers kunnen dus een cross-site scripting attack starten.
Bron: waarschuwingsdienst.nl
Programma: PHP
Versie: 4.3.7 en alle versies daaronder en PHP 5.0 t/m 5.0.0RC3
Besturingssysteem: Windows, UNIX, Linux, Apple Macintosh
Samenvatting
PHP heeft een update uitgebracht waarin twee kritische problemen worden opgelost. PHP is een (gratis) open-source scripttaal die met behulp van webserver-software (meestal Apache) werkt. PHP maakt het mogelijk dynamische websites te maken en wordt steeds vaker toegepast.
Er zijn twee beveiligslekken ontdekt die zijn opgelost in nieuwe versies van het product. Als u gebruik maakt van PHP 4.3.7 en daaronder, of van PHP 5.0.0CR3 raden wij u aan de laatste versies van deze producten installeren.
Gevolgen
Er zijn twee kwetsbaarheden die elk hun eigen gevolgen kennen. Een van de kwetsbaarheden maakt het mogelijk willekeurige code uit te voeren op het systeem waar PHP draait.
De andere kwetsbaarheid kan worden uitgebuit als er een verbinding naar de webserver wordt gemaakt met de Internet Explorer of Safari webbrowser. Doordat deze twee browsers bepaalde foutief ingevoerde URL's negeren kan dit een aanval naar de webserver veroorzaken.
Oplossingen
De laatste versies van PHP (4.3.8 of 5.0) zijn hier beschikbaar :
http://www.php.net/downloads.php
Mandrake Linux heeft installatie pakketen beschikbaar gesteld op :
http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:068
Suse Linux heeft installatie pakketen beschikbaar gesteld op :
http://www.suse.com/de/security/2004_21_php4.html
Links
http://security.e-matters.de/advisories/112004.html
http://security.e-matters.de/advisories/122004.html
Technische details
Hier volgt een beschrijving van de twee gevonden kwetsbaarheden:
PHP memory_limit kwetsbaarheid:
In de configuratie van PHP bestaat de setting memory_limit. Deze setting bepaalt hoeveel geheugen een script maximaal mag gebruiken. Zo kan worden voorkomen dat een slecht geschreven script al het geheugen van de server opslokt. De waarde van deze setting wordt bepaald in bytes. Wanneer u gebruik maakt van deze setting, bent u vatbaar voor een fout in PHP waardoor willekeurige code op het systeem kan worden uitgevoerd.
PHP "Strip_tags()" kwetsbaarheid:
Binnen PHP is een functie ingebouwd die het mogelijk maakt om foutieve HTML en PHP tags van een string af te halen. Zo kan cross-site scripting worden voorkomen. Met extra parameters in een string kan ook worden opgegeven welke tags niet moeten worden verwijderd. Door een fout in PHP kan een gebruiker, door extra parameters op te geven, gevaarlijk tags meesturen, die door de Strip_tags functie worden genegeerd. Hierdoor wordt een cross-site scripting attack mogelijk. Normaal gesproken worden gevaarlijke tags door de browser al afgevangen, echter blijkt dat Internet Explorer en Safari over een "functionaliteit" beschikken die deze gevaarlijk tags gewoon accepteert. Deze browsers kunnen dus een cross-site scripting attack starten.
Bron: waarschuwingsdienst.nl
