Fachinformatiker

“Die weit verbreitete Skriptsprache PHP weist eine kritische Sicherheitslücke auf, die nach Einschätzung des Entdeckers Stefan Esser in vielen PHP-Applikationen von einem Angreifer übers Netz zum Ausführen von beliebigem PHP-Code genutzt werden kann. Bei einem Datei-Upload komme es unter Umständen zu einer teilweisen Überschreibung des so genannten $GLOBALS-Arrays, wodurch sich schadhafter PHP-Code an den Server übermitteln ließe. Betroffen seien unter anderem zahlreiche Applikationen, die auf der PHP-Funktionsbibliothek PEAR oder dem Forensystem vBulletin aufbauen. Die komplexen Auswirkungen dieses Problems, das auch bei register_globals=off zu Tage tritt, beschreibt Stefan Esser in einem eigenständigen Paper.”