Month of PHP Security: Bislang 20 Lücken veröffentlicht
Im Rahmen des im Mai stattfindenden MOPS wurden Informationen über insgesamt 20 Schwachstellen veröffentlicht. Acht davon finden sich in PHP-Anwendungen, 12 betreffen PHP selbst. Daneben gab es bislang vier Artikel rund um PHP-Sicherheit.
- Daniel Bachfeld
Im Rahmen des seit Anfang Mai stattfindenden "Month of PHP Security " (MOPS) wurden Informationen über insgesamt 20 Schwachstellen veröffentlicht. Acht davon finden sich in PHP-Anwendungen, 12 betreffen PHP selbst. Daneben gab es bislang vier Artikel rund um PHP-Sicherheit.
Der vom PHP-Sicherheitsspezialisten Stefan Esser initiierte MOPS soll in Anlehnung an den von ihm 2007 gestarteten "Month of PHP Bugs" (MOPB) im Mai täglich neue Informationen für PHP-Interessierte bieten. Im Unterschied zum MOPB liefert beim MOPS nun auch die PHP-Entwickler-Community Informationen.
Bei den Lücken handelt es sich bislang im Wesentlichen um eine Code-Injection-Lücke im WYSIWYG-Editor Xinha, der auch im CMS Serendipity enthalten ist, sowie um SQL-Injection-Lücken in der Forensoftware DeluxeBB und der Clan-CMS-Software ClanSphere.
In PHP selbst weisen mehrere Funktionen Schwachstellen auf, die unter anderem das Ausspähen von Informationen oder aufgrund von Zugriffen auf nicht initialisierten Speicher das Ausführen von Code ermöglichen. Offizielle Patches gibt es bislang nur für einige der Anwendungen; für PHP jedoch nicht. In den Beschreibungen der einzelnen Schwachstellen sind jedoch Hinweise für Fixes aufgeführt.
Siehe dazu auch:
(dab)
