CBS INTERACTIVE BUSINESS SITES: ZDNET.DE | SILICON.DE
BEI SILICON.DE: Der Wochenrückblick in Bildern
ANZEIGE
SEITE 2
IT-MARKTPLATZ
NEWSLETTER
RSS
MOBIL
VIDEOS
News > Security
ZDNet > News > Security
 

US-CERT: Sicherheitslücke in PHP entdeckt

Christoph H. Hochstätter
|
08.05.08, 12:59 Uhr
Empfehlen
Drucken
Trackback
Path-Translation erlaubt Angreifern die Ausführung beliebigen Codes

Alle PHP-Versionen vor 5.2.6 enthalten einen Bug, der es Angreifern erlaubt, beliebigen Code auszuführen. Darauf weist das US-CERT in einer Vulnerability Note hin.

Aufgrund eines Bugs in der Path-Translation, die dazu verwendet wird, eine URL in den nativen Dateinamen des Webservers zu wandeln, sind alle PHP-Applikationen betroffen, die Dateinamen als Input akzeptieren. Das ist unter anderem bei Web-Facing-Anwendungen der Fall.

Problematisch ist diese Lücke vor allem deswegen, da Cyberkriminelle immer mehr dazu übergehen, Lücken in normalen Webangeboten auszunutzen, um Websites für kriminelle Zwecke zu nutzen. Durch das gestiegene Sicherheitsbewusstsein der Nutzer können Kriminelle Anwender nur noch schwer auf eigene Seiten locken.

Betreibern von PHP-Webseiten empfiehlt das US-CERT, möglichst rasch auf die am 1. Mai erschienene PHP-Version 5.2.6 zu aktualisieren. Besonders gefährdet sind Betreiber von kommerziellen Webangeboten, die Kreditkartenkartenzahlungen erlauben. Kreditkartendaten gelten als extrem beliebte Beute von kriminellen Datenjägern.

Meist machen die Datenjäger kleine Unternehmen zu Opfern. Dass "Bob's Bike Shop" leichter zu hacken ist als Amazon, wüssten die Kriminellen sehr gut, sagt Ken Rutsky, Vice President des Enterprise-Gateway-Sicherheitsunternehmens Secure Computing.

Fanden Sie diesen Artikel nützlich?

Mehr zum Thema

Außerdem bei ZDNet

ANZEIGE

Trackbacks und Pingbacks

TrackbackTrackback-URL:

Link zum Artikel setzen bei

  • Digg
  • Del.icio.us
  • Webnews
 
ANZEIGE

Nachrichten des Tages

» alle Nachrichten ...
  • News
  • Artikel
  • Videos
  • Bilder

Meistgeklickt

  1. Googles Echtzeitsuche ab sofort auch hierzulande verfügbar
  2. Bericht: Googles chinesische Suchmaschine steht vor dem Aus
  3. Windows Phone 7 kommt ohne Copy and paste
  4. Neofonie positioniert sich mit Android-Tablet "WePad" gegen Apple
  5. Finale Versionen von Opera Mini 5 und Opera Mobile 10 erschienen
  6. Bericht: iPhone OS 4.0 unterstützt Multitasking
  7. Microsoft hebt Hardware-Beschränkungen für Windows 7 XP Mode auf
  8. Firefox fordert aggressiv zu Updates auf
  9. 18-Jährige gewinnt 100.000 Dollar bei Intel-Wettbewerb
  10. Apple verkauft angeblich über 90.000 iPads in sechs Stunden
Lesermeinungen in News »

19. März 2010, 19:11 Uhr
das ...

... hört sich zumindest nach einem etwas anderen Ansatz als TwiFaceBuzz an, ist mehr » mehr...

zu Apple arbeitet an Social-Networking-Dienst "iGroups"

19. März 2010, 18:00 Uhr
Vorraussichtlich aus China?

"Google zieht sich am 10. April voraussichtlich aus China zurück." Aha? Da wir ja » mehr...

zu Google zieht sich voraussichtlich am 10. April aus China zurück

19. März 2010, 16:31 Uhr
Wegelagerei

Wenn die Telekom für sowas mehr Kohle von den Anbietern haben will so müsste im Umkehrschluß » mehr...

zu Bericht: Telekom will Geld von Anbietern datenintensiver Webdienste

Sponsored Links

Top-Themen bei ZDNet

Android gegen WM 6.5: Welches OS wird gewinnen?

Windows Mobile ist seit vielen Jahren im Markt etabliert. Doch Android schickt sich an, Microsoft Marktanteile... » mehr

Google Chrome: nützliche Add-ons und Alternativen

Zahlreiche Erweiterungen erhöhen die Funktionalität von Chrome. Mit einem Tool lässt sich der Datensammelleidenschaft... » mehr

ACTA-Abkommen: lückenlose Überwachung im Internet

In geheimen Beratungen haben 39 Staaten das ACTA-Abkommen verhandelt. Jetzt kommen die Details ans Licht.... » mehr

Service

Außerdem bei
CBS Interactive