MOPS: Und wieder neue PHP-Schwachstellen
Kommentare

Der Mai und damit auch der
Month of PHP Security
oder kurz „MOPS“ nähert sich seinem Ende. In den
bisherigen
drei
Wochen
wurden bereits 22 Schwachstellen in PHP und 13 in PHP-Anwendungen
veröffentlicht,

Der Mai und damit auch der Month of PHP Security oder kurz „MOPS“ nähert sich seinem Ende. In den bisherigen drei Wochen wurden bereits 22 Schwachstellen in PHP und 13 in PHP-Anwendungen veröffentlicht, dazu gab es 7 „Tips und Tools“. Dazu gekommen sind nun 11 neue Schwachstellen in PHP und 4 Beiträge aus dem Bereich „Tips und Tools“.

Schachstellen in PHP

Meldungen zu Schwachstellen in PHP gab es in der vergangenen Woche reichlich. Alle drehten sich um die Schwachstellen im ‚call time pass by reference‘-Feature, die das Ausspähen von Speicherbereichen erlauben. Die können auch durch durch die Funktionen htmlentities() und htmlspecialchars() (MOPS-2010-036), str_getcsv() (MOPS-2010-037), http_build_query() (MOPS-2010-038), strpbrk() (MOPS-2010-039), strtr() (MOPS-2010-040), strip_tags() (MOPS-2010-041), setcookie() (MOPS-2010-042), strtok() (MOPS-2010-043), wordwrap() (MOPS-2010-044), str_word_count() (MOPS-2010-045) und str_pad() (MOPS-2010-046) ausgenutzt werden.

Betroffen sind wie üblich PHP 5.2 bis einschließlich der aktuellen Version 5.2.13 und PHP 5.3 bis einschließlich der aktuellen Version 5.3.2. Das grundlegende Problem wurde von Stefan Esser auf der Konferenz ‚BlackHat USA 2009‘ vorgestellt (Präsentation und Paper als PDF). Die Entwickler haben zwar versucht, das betroffene Feature zu entfernen, waren dabei aber nicht gründlich genug.

Schwachstellen in PHP-Anwendungen …

… wurden diesmal nicht veröffentlicht, dafür aber mehrere

Tips und Tools

Im Bereich „Tips und Tools“ ging es mit externen Beiträgen weiter. Den Anfang machte der siebte davon, der von Arthur Gerkis stammt. Er beschreibt unter dem Titel ‚Our Dynamic PHP‘ übliche und unübliche Möglichkeiten zum Einschleusen von PHP-Code.

Der achte externe Beitrag stammt von Juergen Pabel, der einen Configuration Encryption Patch für Suhosin vorstellt: Zwei zusätzliche Funktionen, secureconfig_encrypt() und secureconfig_decrypt(), dienen dem Ver- und Entschlüsseln von in Konfigurationsdateien zu speichernden Passwörtern und ähnlichen Werten.

Der neunte externe Beitrag besteht aus einem Tool samt Beschreibung: Von Johannes Dahse stammt RIPS, ein statischer Sourcecode-Analyser zur Schwachstellensuche in PHP-Skripten (Projektseite auf Sourceforge).

Der zehnte und letzte externe Beitrag stammt von Alexander Peslyak, besser bekannt als ‚Solar Designer‘ und Projektleiter des Openwall Project. Er beschreibt sehr ausführlich die Verwaltung von Benutzern und ihren Passwörtern und weist auf viele potentielle Schwachstellen hin.

Nachträge zu dem vorigen Wochen

Aus der ersten Woche ist eine SQL-Injection-Schwachstelle in ClanTiger offen geblieben, und daran hat sich anscheinend immer noch nichts geändert. Auch ob die SQL-Injection-Schwachstelle in DeluxeBB wie vermutet behoben wurde, steht immer noch nicht fest.

Aus der zweiten Woche waren keine Schwachstellen mehr offen. In der dritten Woche waren Schwachstellen in CMSQlite und e107 offen geblieben. Während es für e107 ein Update gibt (eigentlich sogar zwei, erst auf Version 0.7.21, dann auf Version 0.7.22, um weitere Bugs zu beseitigen), hat sich bei CMSQlite anscheinend immer noch nichts getan. Zwar gibt es neue Beta-Versionen, aber die enthalten weiter den von Stefan Esser bemängelten Code.

Fazit

Die ToDo-Liste für die PHP-Entwickler wird immer länger: Inzwischen warten schon 33 Schwachstellen darauf, behoben zu werden. Bei den Anwendungen sieht es wie schon in den Vorwochen besser aus. Das liegt aber auch daran, dass in dieser Woche keine neuen Schwachstellen dazu gekommen sind. Offen sind noch die SQL-Injection-Schwachstelle in ClanTiger aus der ersten Woche und die SQL-Injection- und LFI- Schwachstellen in CMSQLite aus der dritten Woche. Der Monat ist nur noch kurz, warten wir mal ab, was Stefan Esser in den verbleibenden 4 Tagen noch präsentiert. Angekündigt hat er u.a. SQL-Injection-Schwachstellen.

Carsten Eilers
Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -