Ein schweres Sicherheitsloch wurde in der Uploadfunktion von PHP gefunden. Dieser Fehler ist nur in der UNIX Version vorhanden. Es sind sämtliche PHP 3 & 4 Versionen bis einschliesslich 4.1.1 von diesen Problem betroffen.
Da das Problem sehr kritisch ist sollten Server die PHP verwenden sobald als möglich auf PHP 4.1.2 geupdatet werden. Als Workaround kann in der php.ini die file_upload Option auf Off gestellt werden. In diesen Modus funktionieren aber vBulletin & Co. nicht mehr richtig.
Der Developersnapshot von PHP 4.2.0 ist von diesen Problem nicht betroffen da dort die Upload funktion komplett neu geschrieben wurde.
Wichtig: Dieses Problem existiert nicht nur bei Programmen die Upload unterstützen sondern auch bei jeder beliebigen PHP Seite
http://www.php.net/downloads.php
Mehr zu diesen Problem gibt es hier -
http://security.e-matters.de/advisories/012002.html
PS: Meinen RaQ3 habe ich gerade auf PHP 4.1.2 (inkl. Apache 1.3.23) geupdatet
28.02.2002, 03:55
Sicherheitsloch in PHP
Baum-Darstellung