unserialize() – Sicherheitslücke durch mangelhafte Dokumentation
Kommentare

Seit knapp einem Jahr macht die Dokumentation auf PHP.net unsichere Vorgaben, wie die Funktion unserialize() zu verwenden ist. Durch mangelhafte Implementierung lässt sich der reguläre Ausdruck ‚/(^|;|{|})O:[0-9]+:“/‘

Seit knapp einem Jahr macht die Dokumentation auf PHP.net unsichere Vorgaben, wie die Funktion unserialize() zu verwenden ist. Durch mangelhafte Implementierung lässt sich der reguläre Ausdruck ‚/(^|;|{|})O:[0-9]+:“/‘ relativ leicht umgehen und PHP-Code in ein Server-System einschleusen.

Dies bemerkten Stefan Esser und Anonymous. Adnan Mohd Shukor merkt an, dass erst in der dritten User-Notiz ein Hinweis zu einer sichereren Implementierung vorliegt.

Die Frage ist nun, inwieweit die unsichere Implementierung bereits verbreitet wurde. Um niemanden zu gefährden, hält man sich freilich bedeckt dazu. Doch einige TYPO3-Erweiterungen scheinen betroffen zu sein, behauptet Esser weiter.

Falls Ihr also unserialize() einsetzt, solltet Ihr dringend noch einmal schauen, wie Eure Anwendung mit der Ausgabe umgeht und gegebenenfalls (falls sie <a href="http://www.exploit-db.com/exploits/22398/" target=blank title="Invision Power Board ungefähr so aussieht) dem Tipp entsprechend anpassen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -