Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 27 reacties
Bron: e-matters

Dat open source veel voordelen biedt, was al bekend. Maar de makers van PHP hebben dat nog eens extra laten blijken. Er is namelijk een beveiligingsfout gevonden in de source van PHP 4.2.0 en PHP 4.2.1. Hiermee kan een kwaadwillend persoon een webserver laten crashen door gebruik te maken van verkeerde POST-algoritmes. Gelukkig is deze bug gevonden nog voordat er een script voor geschreven kon worden. Volgens de e-matters security site werkt deze bug niet op x86-gebaseerde computers.

PHP logo We have discovered a serious vulnerability within the default version of PHP. Depending on the processor architecture it may be possible for a remote attacker to either crash or compromise the web server. On the IA32 architecture (aka. x86) it is not possible to control what will end up in the uninitialised struct because of the stack layout. All possible code paths leave illegal addresses within the struct and PHP will crash when it tries to free them.

Er wordt dringend geadviseerd om de nieuwe versie van PHP (PHP 4.2.2) te installeren waarmee deze bug wordt uitgeschakeld. Deze is te downloaden van php.net. Voor meer informatie over deze bug is er een topic op het forum van tweakers.net geopend.
the_dreamboy, bedankt voor deze supersnelle tip.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (27)

Dit gaat om versie 4.2.1, je moet updaten naar 4.2.2, duidelijkere headline?
Je moet helemaal niets updaten tenzij je een non-X86 machine hebt zoals een PPC of een SPARC machine ofzo.
Tenzij je graag een crashende X86-php wilt kan je ook die beter wel upgraden ;)

Nadeel is alleen dat er nog geen zend-optimiser is :{
Dit gaat om versie 4.2.1, je moet updaten naar 4.2.2, duidelijkere headline?
Het gaat om 4.2.0 en 4.2.1, kortweg 4.2 dus...
Niet alleen 4.2.0 ook 4.2.1

dus zowiezo updaten kan geen kwaad alleen een beveiligingsaanpassing omtrent dit is er gedaan en geen wijzigen op EXPERIMENTAL dingen enzo...
Als je snel op de hoogte gehouden wilt worden over bugs in allerlei gebruikte (en niet gebruikte) software kan je je inschrijven op de bugtraq mailinglijst, te vinden op de site van securityfocus:

http://online.securityfocus.com/archive/1

Hier krijg je gemiddeld rond de vijf mailtjes per dag van.
Het is niet zo dat er met x86 niets aan de hand is!

Op x86 is het "slechts" een manier om de server te laten crashen, er gaat dus een apache kindje om zeep die vervangen moet worden, doe het vaak genoeg en je legt de server lam "DoS" attack. Niet "echt" schadelijk, wel oervervelend.

Op andere platformen is het wel een exploit, die zouden dus haast moeten maken om te upgraden. x86 moet dat ook doen, maar iets minder urgent.
De ports van FreeBSD zijn nu ook uptodate>> is wel zo makkelijk :) Wel jammer dat gentoo eerder was dan fBSD :P
Tsja, met source ben je vaak sneller ;)
de ports-tree van FreeBSD is source, echter FreeBSD heeft een patch op sommige dingen nodig mbt tsrm enzo....
Het was hoognodig dat er een nieuwe versie van PHP uitkwam omdat de vorige versie (4.2.1) niet echt helemaal lekker samenwerkte met de laatste Apache die ook recentelijk een security patch heeft gekregen.
Deze versie is puur een fix voor dat lek...
4.2.1 werkt overigens overal waar ik het toegepast heb prima samen met apache, behalve dat er wat nog wat bugjes in php zelf zaten.
Alsof ASP bugvrij is... NOT...
Ik word een beetje moe van dat MS vs. *nix geblaat. Gebruik je OS/Software waar je het voor nodig hebt en waar het goed voor is.

Alles heeft bugs (zelfs een hello world app kan bugs hebben vanwege compilerfouten). Voor alle wijsneuzen die denken dat ze iets gevonden wat 100% bugvrij is.... Tell me... Maar dat is gewoon niet zo. Windows niet, *nix niet.

Wees blij dat er zo snel fixes voor gevonden worden.
\[wijsneus-mode] Wat heeft het booten met PHP te maken? \[/wijsneus-mode]
Booten? Denk jij dat een PC alleen gekraakt kan worden tijdens het booten of wa?

Korte uitleg voor je. PHP is geschreven in C/C++. C/C++ is zo snel omdat ze niet controleren wat er in het geheugen gestopt word o.a. Als je in C/C++ bijv een array (lijst van variablen) declareert like int a[4] en je schrijft naar a[10] is dat geen probleem, terwijl die helemaal niet bestaat. Je overschrijft dan een stuk geheugen wat voor iets anders gebruikt word en wat dus behoorlijke gevolgen kan hebben. Als dat gebeurt crasht ie, segfault, of in het ergste geval word er shellcode op de executable (uitvoerbare) stack (stuk geheugen) geschreven. Die shellcode word dan uitgevoerd en dat is een exploit.

edit:

oh ja, desalniettemin word je d'r niet vrolijk van als ze je servers crashen
POST as in HTML POST (stuur gegevens van de browser naar de webserver), niet Power On Self Test.
Ik had topic al gelezen @ got, mn servers draaien inmiddels al een paar uurtjes 4.2.2 :)
Heb jij dan servers draaien die een andere processor heeft dan een I x86?

Heeft dus nog niet zoveel nut!
Volgens mij kan je m op x86 wel laten crashen, alleen niet hacken.
Dat open source veel voordelen biedt, was al bekend. Maar de makers van PHP hebben dat nog eens extra laten blijken. Er is namelijk een beveiligingsfout gevonden in de source van PHP 4.2.0 en PHP 4.2.1.
:? maw de makers van PHP hebben extra laten blijken dat open source veel voordelen biedt doordat ze een fout hebben hersteld
De volgorde van de inhoud van de zinnen is een beetje obscuur, maar er wordt vast bedoeld dat de makers van PHP de voordelen van Open Source hebben laten blijken door zo snel een fix te releasen.

Bij closed source was de procedure heel anders geweest (niet noodzakelijk trager, maar in de huidige praktijk vaak wel).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True