Scriptorama.nl

Ook PHP heeft zo z'n problemen met security af en toe. Er zijn 4 security problemen gevonden in de huidige PHP versies, zowel PHP 4.4.2 als PHP 5.1.2. Het zijn verschillende problemen, van XSS tot het kunnen veroorzaken van een gedeeltelijke crash van Apache.

• XSS probleem met phpinfo()
• Mogelijkheid om de open_basedir restrictie te omzeilen met tempnam()
• Mogelijkheid om safe_mode restricties te omzeilen met copy()
• Mogelijkheid om eigen Apache processen om zeep te helpen

Deze laatste lijkt niet zo'n probleem te zijn. Degene die dit heeft gerapporteerd heeft alleen maar gezien dat PHP uiteindelijk onderuit gaat op het moment dat je een functie zichzelf laat aanroepen en zo dus een infinite loop creërt.

De problemen zijn inmiddels opgelost in de CVS (ontwikkel) versies van PHP:

- Fixed tempnam() 2nd parameter to be checked against path components. (Ilia)
- Fixed safe_mode check for source argument of the copy() function. (Ilia)
- Fixed XSS inside phpinfo() with long inputs. (Ilia)

Er is nog geen officiele release beschikbaar maar van PHP 5.1.3 was in elk geval al RC3 beschikbaar dus je kunt verwachten dat deze vrij snel wordt vrij gegeven.