Laut einem Bericht von Security Reason existiert in den PHP Versionen 5.2.11 und 5.3.0 eine Sicherheitslücke, die den Zugriff auf interne Systemdateien ermöglicht. Im Rahmen des Berichts wird ein Proof-of-Concept geschildert, dass die "open_basedir" Einschränkungen von PHP umgehen kann. Unter PHP 5.2.11 lassen sich sogar die Einschränkungen des "Safe Mode" damit umgehen. Angreifer, die eignen PHP-Code in den Server einspeisen, erhalten so Einblick in kritische Systemdateien, was Tür und Tor für weitere Angriffe öffnet. Ein Patch steht bislang nicht zur Verfügung. (vgw)
Zugriff auf kritische Dateien möglich
Sicherheit: Neuer Angriff gegen PHP 5 gemeldet
13.11.2009
Mit Hilfe eines Verzeichniswechselangriffs auf PHP 5 können Angreifer kritische Dateien, wie beispielsweise /etc/passwd, einsehen.