Das CERT (Computer Emergency Response Team) warnt vor einer Sicherheitslücke in der weit verbreiteten Web-Scriptsprache PHP. Ein Fehler in der Funktion zum Datei-Upload auf einen Server lasse zu, dass fremder Code auf dem Server ausgeführt werde. Der Bug findet sich in den PHP-Versionen 3.10 bis 4.1.1 für Linux- und Solaris-Systeme. Um das Loch zu schließen, wird ein Upgrade auf Version 4.1.2 empfohlen. Version 4.2 enthält laut dem Cert den Fehler nicht mehr. Wie der Fehler zustande kommt, sagt CERT nicht. Auch der Verweis auf die Seite des Softwareanbieters E-matters - er hat den Fehler entdeckt - ist wenig ergiebig. E-matters hält sich offensichtlich an die Etikette, die erst vor wenigen Tagen von Sicherheitsexperten formuliert wurde. Diesem Vorschlag zufolge bedeutet ein verantwortungsvoller Umgang mit Sicherheitslöchern unter anderem, den Nachvollzug von Bugs erst 30 Tage, nachdem der Hersteller informiert wurde und für Abhilfe sorgen konnte, zu veröffentlichen. Entwickler wenden dagegen ein, sie wollten so schnell und umfassend wie möglich informiert werden. 30 Tage lang nicht oder nur unvollständig informiert zu werden sei zu viel zu lange. Ob sich Hersteller und Entwickler auf die Etikette einigen können, steht im Moment dahin. Sicher ist nur, dass der Vorschlag der für technische Standards im Internet zuständigen Behörde IETF (Internet Engineering Task Force) vorliegt. In diesem steht unter anderem, Hersteller müssten innerhalb von sieben Tagen auf Bugs reagieren und innerhalb von 30 Tagen einen Patch veröffentlicht haben. (wl)
01.03.2002
Das CERT (Computer Emergency Response Team) warnt vor einer Sicherheitslücke in der weit verbreiteten Web-Scriptsprache PHP. Ein Fehler in der Funktion zum Datei-Upload auf einen Server lasse zu, dass fremder Code auf dem Server ausgeführt werde. Der Bug findet sich in den PHP-Versionen 3.10 bis 4.1.1 für Linux- und Solaris-Systeme. Um das Loch zu schließen, wird ein Upgrade auf Version 4.1.2 empfohlen. Version 4.2 enthält laut dem Cert den Fehler nicht mehr. Wie der Fehler zustande kommt, sagt CERT nicht. Auch der Verweis auf die Seite des Softwareanbieters E-matters - er hat den Fehler entdeckt - ist wenig ergiebig. E-matters hält sich offensichtlich an die Etikette, die erst vor wenigen Tagen von Sicherheitsexperten formuliert wurde. Diesem Vorschlag zufolge bedeutet ein verantwortungsvoller Umgang mit Sicherheitslöchern unter anderem, den Nachvollzug von Bugs erst 30 Tage, nachdem der Hersteller informiert wurde und für Abhilfe sorgen konnte, zu veröffentlichen. Entwickler wenden dagegen ein, sie wollten so schnell und umfassend wie möglich informiert werden. 30 Tage lang nicht oder nur unvollständig informiert zu werden sei zu viel zu lange. Ob sich Hersteller und Entwickler auf die Etikette einigen können, steht im Moment dahin. Sicher ist nur, dass der Vorschlag der für technische Standards im Internet zuständigen Behörde IETF (Internet Engineering Task Force) vorliegt. In diesem steht unter anderem, Hersteller müssten innerhalb von sieben Tagen auf Bugs reagieren und innerhalb von 30 Tagen einen Patch veröffentlicht haben. (wl)