Sicherheitsloch in PHP

Philipp · 28.02.2002, 03:55

Ein schweres Sicherheitsloch wurde in der Uploadfunktion von PHP gefunden. Dieser Fehler ist nur in der UNIX Version vorhanden. Es sind sämtliche PHP 3 & 4 Versionen bis einschliesslich 4.1.1 von diesen Problem betroffen.

Da das Problem sehr kritisch ist sollten Server die PHP verwenden sobald als möglich auf PHP 4.1.2 geupdatet werden. Als Workaround kann in der php.ini die file_upload Option auf Off gestellt werden. In diesen Modus funktionieren aber vBulletin & Co. nicht mehr richtig.

Der Developersnapshot von PHP 4.2.0 ist von diesen Problem nicht betroffen da dort die Upload funktion komplett neu geschrieben wurde.

Wichtig: Dieses Problem existiert nicht nur bei Programmen die Upload unterstützen sondern auch bei jeder beliebigen PHP Seite

http://www.php.net/downloads.php

Mehr zu diesen Problem gibt es hier - http://security.e-matters.de/advisories/012002.html

PS: Meinen RaQ3 habe ich gerade auf PHP 4.1.2 (inkl. Apache 1.3.23) geupdatet

Philipp · 28.02.2002, 14:01

Vereinzelt sind jetzt schon die ersten Binarys aufgetaucht die dieses Problem beheben.

Um PHP 4.1.2 auf Red Hat selber zu kompilieren:
cd /usr/local
wget http://php.net/distributions/php-4.1.2.tar.gz
tar xzvf php-4.1.2.tar.gz
cd php-4.1.2
./configure --with-zlib --with-mysql --with-apxs (das ist eine Minimalkonfiguration mit MySQL/Zlib Support)
make
make install
/etc/rc.d/init.d/httpd restart

Je nach Linux Distribution gibt es Abweichungen so z.b. bei Debian muss Apache mit /etc/init.d/apache restart statt /etc/rc.d/init.d/httpd restart neu gestartet werden.

Ich habe es bisher auf 3 Server (2x Cobalt RaQ3/Red Hat 6.x basierend und 1x original Red Hat 7.2) ohne Probleme selber kompiliert

Windows Server sind von diesen Sicherheitsproblem nicht betroffen

Philipp · 01.03.2002, 12:16

Eine Reihe von fertig kompilierte Binaries ist jetzt verfügbar

Sun Cobalt RaQ4:
http://pkgmaster.com/packages/raq/4/#php

Red Hat Linux:
http://www.redhat.com/support/errata/RHSA-2002-035.html

Mandrake Linux:
http://www.mandrakesecure.net/en/adv...A-2002-017.php

Debian SID (Unstable):
http://packages.debian.org/unstable/web/php4.html

Philipp · 02.03.2002, 03:15

Es geht noch weiter

Debian Woody (Testing):
http://packages.debian.org/testing/web/php4.html (Benötigt Apache 1.3.23 Update - http://packages.debian.org/testing/web/apache.html)

Sun Cobalt RaQ3 (Unoffiziell):
ftp://ftp.cobalthosting.ch/pub/optio...HP-4.1.2-1.pkg

SuSE:
http://lists2.suse.com/archive/suse-...-Feb/0003.html

Philipp · 02.03.2002, 17:26

Debian 2.2:
http://www.debian.org/security/2002/dsa-115

28.02.2002, 03:55	#1
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Sicherheitsloch in PHP Ein schweres Sicherheitsloch wurde in der Uploadfunktion von PHP gefunden. Dieser Fehler ist nur in der UNIX Version vorhanden. Es sind sämtliche PHP 3 & 4 Versionen bis einschliesslich 4.1.1 von diesen Problem betroffen. Da das Problem sehr kritisch ist sollten Server die PHP verwenden sobald als möglich auf PHP 4.1.2 geupdatet werden. Als Workaround kann in der php.ini die file_upload Option auf Off gestellt werden. In diesen Modus funktionieren aber vBulletin & Co. nicht mehr richtig. Der Developersnapshot von PHP 4.2.0 ist von diesen Problem nicht betroffen da dort die Upload funktion komplett neu geschrieben wurde. Wichtig: Dieses Problem existiert nicht nur bei Programmen die Upload unterstützen sondern auch bei jeder beliebigen PHP Seite http://www.php.net/downloads.php Mehr zu diesen Problem gibt es hier - http://security.e-matters.de/advisories/012002.html PS: Meinen RaQ3 habe ich gerade auf PHP 4.1.2 (inkl. Apache 1.3.23) geupdatet

28.02.2002, 14:01	#2
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Vereinzelt sind jetzt schon die ersten Binarys aufgetaucht die dieses Problem beheben. Um PHP 4.1.2 auf Red Hat selber zu kompilieren: cd /usr/local wget http://php.net/distributions/php-4.1.2.tar.gz tar xzvf php-4.1.2.tar.gz cd php-4.1.2 ./configure --with-zlib --with-mysql --with-apxs (das ist eine Minimalkonfiguration mit MySQL/Zlib Support) make make install /etc/rc.d/init.d/httpd restart Je nach Linux Distribution gibt es Abweichungen so z.b. bei Debian muss Apache mit /etc/init.d/apache restart statt /etc/rc.d/init.d/httpd restart neu gestartet werden. Ich habe es bisher auf 3 Server (2x Cobalt RaQ3/Red Hat 6.x basierend und 1x original Red Hat 7.2) ohne Probleme selber kompiliert Windows Server sind von diesen Sicherheitsproblem nicht betroffen

01.03.2002, 12:16	#3
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Eine Reihe von fertig kompilierte Binaries ist jetzt verfügbar Sun Cobalt RaQ4: http://pkgmaster.com/packages/raq/4/#php Red Hat Linux: http://www.redhat.com/support/errata/RHSA-2002-035.html Mandrake Linux: http://www.mandrakesecure.net/en/adv...A-2002-017.php Debian SID (Unstable): http://packages.debian.org/unstable/web/php4.html

02.03.2002, 03:15	#4
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Es geht noch weiter Debian Woody (Testing): http://packages.debian.org/testing/web/php4.html (Benötigt Apache 1.3.23 Update - http://packages.debian.org/testing/web/apache.html) Sun Cobalt RaQ3 (Unoffiziell): ftp://ftp.cobalthosting.ch/pub/optio...HP-4.1.2-1.pkg SuSE: http://lists2.suse.com/archive/suse-...-Feb/0003.html

02.03.2002, 17:26	#5
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Debian 2.2: http://www.debian.org/security/2002/dsa-115

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)