mboost-dp1

unknown

Kritisk sikkerhedshul i PHP

- Via e-matters -

Der er blevet fundet et sikkerhedshul i PHP’s måde at håndtere multipart/form-data POST requests (POST fil-uploads).

Hullet betyder, at ondsindede crackere kan udføre arbitrær kode på offerets system.

Fejlen er at finde i langt de fleste versioner af PHP.

En patch er tilgængelig på php.net – alternativt kan man slå muligheden for fil-upload fra i sin php.ini.





Gå til bund
Gravatar #1 - Hekto
1. mar. 2002 06:38
Det er jo det jeg siger - ASP styrer :P
Gravatar #2 - AoN
1. mar. 2002 06:54
Øhhh.... Hvor hører den kommentar lige til henne? - den var ihvertfald malplaceret.

"Please notice, that you are not only vulnerable if you run scripts that use uploaded files. You are vulnerable if you run any script! If you have PHP only installed but there is no script on your server you are not vulnerable."

Så se at få patchet - det er ikke nok bare at disable file-upload.
Gravatar #3 - sunlock.dk
1. mar. 2002 07:08
ASP styrer? Hvad med sikkerheden på disse "ASP-servere"?
Gravatar #4 - sKIDROw
1. mar. 2002 07:47
ASP er da en gang spaghetti koe i forhold til... ;o)
Gravatar #5 - Hektor
1. mar. 2002 08:23
#4 sKIDROw:
Der er muligvis også sikkerhedshuller i 95% af al Perl-kode, men der er ikke nogen, der ved det med sikkerhed, for der er ingen, der kan læse Perl-kode.
Gravatar #6 - Simm
1. mar. 2002 09:48
ASP er da så sindsygt langsomt ift. PHP på samme platform, så det styrer? Næh..
Gravatar #7 - sKIDROw
1. mar. 2002 10:09
=>Hektor

Det kan jeg kun give dig ret i, dog er perl sejt for det kan stortset ALT... ;o)
Feks. decss = 3 linier perl kode...
Gravatar #8 - Naish
1. mar. 2002 10:27
pheeew, patch patch patch.... jeg har ansvaret for alt for mange php servere......

Godt vi fik patchen

Naish
Gravatar #9 - Hektor
1. mar. 2002 10:48
#7 sKIDROw:
Ja, uha, DeCSS på tre linjer er imponerende. Hvis jeg ellers vidste, hvordan man lavede en java-implementation af DeCSS, kunne jeg lave den på én linje. Du kunne for så vidt lave det vildeste koloenorme program på en enkelt linje i java. Det kan du sandsynligvis også i C++, C# og muligvis også i C. Det er kun i BASIC-programmer og lignende, at linjeantal er interessant ...
Gravatar #10 - mindflay
1. mar. 2002 10:56
ARgh, hvorfor er der ikke en binary distrib. til os Win-nørder? :(

Mht. kompakt kode: Brug dog Haskell, der er QuickSort, Fibbonacci m.fl. one-liners. Men det gør det ikke mere overskueligt, eller brugbart... ;)

/Mindflay
Gravatar #11 - xbeeps
1. mar. 2002 11:19
#10:

kompakt kode? skriver man kompakt kode i et programmeringssprog som indeholder mange foruddefinerede funktioner? tror du at nogen programmeringssprog kan lave supereffektive fibonaccirækker på 2-3 maskinkodeinstruktioner?

Jeg kan også godt skrive windows XP på en line:

call main()

....sådan!
Gravatar #12 - Disky
1. mar. 2002 11:23
skidrow:
og php er mere rodet end JSP. :-)

Så hvad hjælper den kommentar ?
Gravatar #13 - C#
1. mar. 2002 11:54
og JSP er bare en billig efterlinger af ASP
Gravatar #14 - Praetorian
1. mar. 2002 12:13
Hvor finder man lige en PHP (engine?) til apache i win32 versionen. Den skal primært kunne køre på en w2k Prof maskine men indtil videre skal den kunne kalre win98 også ad min apache server ligger på den da min side er under udvikling.
Gravatar #15 - sKIDROw
1. mar. 2002 12:39
=>Disky

Udtalte mig IKKE om JSP, det kender jeg nemlig intet til... ;o)
For mig gælder det blot:
Kræver det Windows+IIS, kan jeg ikke bruge det til noget... ;o)
Gravatar #16 - sim
1. mar. 2002 12:56
=>Praetorian
http://dk.php.net/downloads.php
Gravatar #17 - repsac
1. mar. 2002 15:22
"JSP er bare en billig efterlinger af ASP"

Den var sq grov! - JSP kan vist en hel del rigtig rare sager hvor ASP ikke kan følge med...
Gravatar #18 - G-Thang
1. mar. 2002 17:15
#9 Hektor: "Du kunne for så vidt lave det vildeste koloenorme program på en enkelt linje i java."

*sigh* Hektor, du vil engang opdage, at der er uudtalt enighed om hvad udgør en linie. Noget med klart læselighed og logisk sammenhæng. Jeg har set den der 3 liniers DeCSS, og nej, den er ikke vildt letlæselig. Dog er det 1 linie logistik (skryde simpelt!) og to liniers ..ehh.. "udskifte ting på linier". Derfor den omtales som 3 linier. Besides, havde ik givet specielt mere mening på flere linier.

Det sagt, så styrer [Pp]erl for vildt!

/G
Gravatar #19 - Disky
1. mar. 2002 18:10
c#

no way, asp er basic lignende, det er Java gudskelov ikke !

Men c# er et rent kopi af Java som var en forbedring af C++.
Gravatar #20 - NFX
1. mar. 2002 18:42
ehh..

ASP = ikke et kodesprog som sådan, nærmere en kerne..
Det mest alm. script-sprog i ASP er (en forsimplet version af) Visual Basic.. Men den kan også bruge JSP, javascript osv..
Gravatar #21 - Hekto
1. mar. 2002 19:04
Det var os ment som en provokation :P

Aner sku ik en skid om PHP :)
Gravatar #22 - Disky
1. mar. 2002 19:42
nfx:

Nej man kan IKKE bruge JSP i en ASP side.

JSP er Java Server Pages, har man det gider man ikke bruge ASP.
Gravatar #23 - C#
1. mar. 2002 19:55
<STRONG>repsac</STRONG>:
intern ting mellem mig og disky :)

men er rigtigt nok, ASP er ikke vildt godt

har man C++ (til ISAPI extensions) så gidder man ikke andet :) (slår næsten alt i hastighed, også java :) )

C# er ved dloade eclipse, bare for at lave lidt benchmarks :)
Gravatar #24 - Baxeno
2. mar. 2002 08:34
ASP = As Slow As Posible :)

PHP = 1K times better then ASP
Gravatar #25 - C#
2. mar. 2002 12:41
ISAPI(c++) = ++ hurtigere end php :)for at tage et konkret eksempel, dns opslag i php, tager 4x så lang tid som med et ISAPI extension, selvom de kalder de samme funktioner i windows, ISAPI'en kalder det så direkte, mens det via PHP skal igennem flere "lag"
Gravatar #26 - sKIDROw
2. mar. 2002 13:36
=>C#

Nu er vi blot nogen der mener, at Windows kun er et desktop OS... ;o)
Gravatar #27 - traCe
2. mar. 2002 14:17
Hehe jeg skulle lige til at finde tox på IRC og fortælle ham om nyheden, så han kunne fixe vores homie :) men hov så var det TÅÅÅÅÅÅX som postede :D
Gravatar #28 - C#
2. mar. 2002 14:35
vi er også nogen der mener at windows kører fint når det er sat rigtigt op, synd der ikke er mange der kan det
Gravatar #29 - Hektor
2. mar. 2002 15:01
#28 C#:
Der er også nogle, der mener, at en Trabant er en udemærket bil, der kører ordentligt, når den er blevet behandlet ordentligt. Men der er stadig et stykke vej op bare til en Skoda 105.
Gravatar #30 - sKIDROw
2. mar. 2002 16:11
=>C#

Ja som desktop OS... ;o)

=>Hektor

LOL!
Gravatar #31 - C#
3. mar. 2002 12:05
igen forventer ingen der synes noget som helst ms har lavet er ok, på den her anti ms side
Gravatar #32 - sKIDROw
3. mar. 2002 16:41
=>C#

Der er godt nok lavt, at kalde newz for en anti MS side.
Blot fordi vi ikke lovpriser alt hvad de laver og gør...
Dette kaldes sund skepsis og debat!... ;o)
Hvis det er det du kigger efter i en side, skal du nok søge mod msn... ;o)
Gravatar #33 - west
3. mar. 2002 17:14
lol
Gravatar #34 - C#
3. mar. 2002 18:13
<STRONG>sKIDROw</STRONG>:

"Blot fordi vi ikke lovpriser alt hvad de laver og gør... "
det er også fint :)

men er bare standarden at diverse linux folk uden begrundelser siger ms sucks
Gravatar #35 - Deternal
4. mar. 2002 07:55
Tjum, nu er php4 (zend) med zend accelerator ca. 2x hurtigere end asp, hvis man så encoder det og smider php optimizer på (optimizer kræves for at køre encoded php) er det ca. 5-7x hurtigere end asp - og det *UDEN* at skulle til at køre com objects og lign. (som pr. definition er et sikkerhedshul).

Har du *VIRKELIG* *VIRKELIG* brug for at det går stærkere end dette så kan man self linke til perl objects (som i hastighed afaik kan sammenlignes med isapi, måske endda lidt hurtigere) - så nej jeg kan *IKKE* se at ASP skulle have nogen som helst fordel, andet end hvis man vil kode til .NET og finde ud af at MS har lavet/kopieret din service om 7 år og dermed gør dig arbejdsløs (fordi du ikke har råd til at køre en sag i 4-5 år uden indkomst).

MS = triple E (embrace, extend, extinguish).

Så er den simpelthen ikke længere - Win2K pro er et ganske udemærket Desktop OS, men på serversiden må man sige det er tidskrævende at administrere ift. diverse unices.

Og samtidig profiler MS sig jo på at være ÅH se let, men hvis det er så som kan sætte en windows server ordentligt op må man da sige at det er et hult argument eller hvad? (og ja, man kan da godt sætte en 2k server op til at køre i månedsvis (måske endda år hvis du aldrig opdaterer den og ikke har en netforbindelse)). OG lad nu vær med at give mig den med at win NT er C2 certificeret (ja ok, hvis man ikke har netkort, keyboard, mus eller floppy drev i maskinen - og det er udfra de krav NT er C2 certificeret - men hvad er pointen så?).

Håber du bliver glad for nogle saglige argumenter, og håber på at få nogle saglige argumenter tilbage (om end jeg kan have min tvivl udfra hvad jeg har set tidligere - fra begge "fløje").
Gravatar #36 - Disky
4. mar. 2002 11:14
Deternal:

Hørt Hørt.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login