[linux-l] Jeden Tag neuer PHP-Ärger

Olaf Radicke olaf_rad at gmx.de
Fr Nov 11 16:32:50 CET 2005 

Am Freitag, 11. November 2005 13:44 schrieb Benjamin Schieder:
> Olaf Radicke wrote:
> > Hi!
> >
> > Fast jeden Tag Meldungen wie diese zum Thema PHP...
> > http://www.heise.de/security/news/meldung/66053
> > ...Als Admin, der gezwungen ist PHP zu installieren, muss das ja die
> > Hölle sein.
>
> Das ist ungefaehr so, als wuerde man sagen:
> Mann, staendig neue Buffer Overflows in C Programmen. Als Admin, der
> gezwungen ist, glibc zu installieren, muss das ja die Hoelle sein.

Bei Goole habe ich ein von 13.11.2003 und ein von  11/2000 gefunden. Zwei  
Buffer Overflows in 5 Jahren. 

PHP bei Heise:


PHP 4.4.1 kann Anwendungen lahm legen (07.11.2005, cr)

Mehrere Sicherheitslücken in PHP (31.10.2005, cr)

Wieder Lücken in phpMyAdmin (25.10.2005, dab)

Neue MySource-Version behebt kritische Sicherheitslücken (19.10.2005, cr)

PHPMyAdmin liest lokale Dateien (11.10.2005, cr)

SpreadFirefox.com erneut geknackt (05.10.2005, dmk)

Zwei Lecks in PostNuke [Update] (29.09.2005, dmk)

Schwachstellen in PHP-Modulen gefährden zahlreiche Webapplikationen 
(15.08.2005, dab)

Web-Seiten attackieren Internet-Explorer-Nutzer (15.07.2005, ju)... Besonders 
im Visier haben sie dabei derzeit Server, die nicht ausreichend aktualisierte 
PHP-Software einsetzen...

PHP 4.4.0 beseitigt kurioses Problem in der Speicherverwaltung (12.07.2005, 
ola)

Schwachstelle in CMS PostNuke (29.06.2005, dab)

Schwachstelle in PHPNuke-basierten Content-Management-Systemen [Update] 
(02.06.2005, dab)

Neue Versionen der Skriptsprache PHP (01.04.2005, hb)
 PHP 4.3.11 und 5.0.4 enthalten unzählige Bugfixes, die unter anderem 
Sicherheitslücken betreffen.

Erneut kritische Lücke in phpBB (28.02.2005, dab)

Sicherheitslücke in Mambo [Update] (04.02.2005, pab)
 
Schweres Performanceproblem in PHP-Funktion (20.01.2005, ola)
 Die Beseitigung der Sicherheitslücke in der unserialize()-Funktion der 
Open-Source-Skriptsprache bremst Rechner

Wieder Lücke in PHProjekt (29.12.2004, dab)

Zahlreiche Schwachstellen in Skriptsprache PHP (16.12.2004, dab)

Weitere Lücke in phpMyAdmin ermöglicht Ausführen von Befehlen (14.12.2004, 
dab)

Sicherheitslücke in Groupware PHProjekt (01.12.2004, dab)

Sicherheitslücke bei Sicherheitsfirma (20.07.2004, anw)
 Durch ein unsicheres PHP-Skript waren offenbar über Monate die Daten 
Tausender Kunden des Berliner Sicherheitssoftware-Anbieters My Channel frei 
im Netz erhältlich.

Neue PHP-Versionen schließen Sicherheitslöcher (15.07.2004, ju)

PHP 5 veröffentlicht (14.07.2004, ola)
 Die lange Betaphase hat Früchte getragen. Die Skriptsprache fürs Web liegt 
nun in ihrer endgültigen Version 5 vor. Außerdem steht ein Security-Fix für 
PHP 4 zum Download bereit.

Schwachstelle in PHPs Shell-Funktionen unter Windows (09.06.2004, dab)

Neues Bugfix-Release für PHP (05.06.2004, jk)

13 Server der NASA geknackt (22.12.2003, dab)
. ..Laut Zone-H drangen die Hacker über eine Schwachstelle eines PHP-Skriptes 
ein...

Sicherheitsprobleme bei Web-Hoster Verio Deutschland (28.10.2003, dab)
...So auch bei Verio: Mit einem PHP-Skript auf deren Apache-Webservern kann 
man direkt auf das Dateisystem zugreifen....

PHP in Version 4.3.3 erschienen (26.08.2003, hos)
 Die häufig auf Webservern eingesetzte Skriptsprache PHP ist in einer neuen 
Version erschienen, die zahlreiche Fehler behebt und Sicherheitslücken 
schließt.

Sicherheitslecks in Open-Source-Groupware [Update] (30.06.2003, dab)

Software für Diskussionsforen verrät Hashes von Passwörtern [Update] 
(23.06.2003, dab)

Mehr Informationen über die Mailingliste linux-l