VulDB: PHP bis 5.1.3 substr_compare() Designfehler
Allgemein
scipID: 2199
Betroffen: PHP bis 5.1.3
Veröffentlicht: 04.05.2006 (PHP Group)
Risiko: 
problematisch
Beschreibung
PHP ist ein frei verfügbares open-source Skripting-Paket, das für sämtliche populären Betriebssysteme zur Verfügung steht. Es findet vorwiegend im Web-Einsatz seine Verwendung. Zeitgleich wurden vier Schwachstellen in PHP bis 5.1.3 bekannt. Eine davon betrifft die Funktion substr_compare(), bei der die Überprüfung von Länge und Offset nicht richtig umgesetzt sei. Welche Auswirkungen dies haben könnte, ist nicht bekannt. Es ist mit einem Pufferüberlauf zu rechnen. Weitere Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Der Fehler wurde in der Version 5.1.3 von PHP behoben.
Werden in einem neuem Software-Release so viele Schwachstellen behoben, wie in dem jüngsten von PHP, lohnt sich ein Upgrade allemal. Auf einen Schlag können so eine Vielzahl an Sicherheitslücken gestopft und das System wieder auf den neuesten Stand gebracht werden. Das Interesse der Angreifer ist ebenfalls als hoch anzusehen, da PHP eine enorme Verbreitung geniesst und deshalb die Chancen, auf ein verwundbares System zu stossen, relativ hoch sind. Skript-Kiddies werden die Gunst der Stunde nutzen wollen und sich an den verwundbaren Systemen gütlich tun.
Exploiting
Klasse: Designfehler
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: http://www.php.net/release_5_1_3.php
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.php.net/downloads.php
Snort: –
Pattern: –
Quellen
Advisory: http://www.php.net/release_5_1_3.php
CVE: CVE-2006-3016
OSVDB: 25253
Securityfocus: 17843
Secunia: 23247
X-Force: –
Securitytracker: 1016306
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
