Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

PHP und max_input_vars

3. Februar 2012

Um Neujahr herum wurde ein altes Problem wieder aufgewärmt: Man kann durch gezielte Hash-Collisions einen DoS-Angriff gegen Webserver fahren, indem man POST-Requests mit sehr vielen Parametern absetzt. Viele Web-Frameworks speichern diese CGI-Parameter in assoziativen Arrays und diese haben ein schlechtes Worst-Case-Verhalten, wenn die Schlüsselwerte absichtlich ungünstig gewählt werden.

PHP hat prompt reagiert und einen Patch herausgebracht. Dieser hat sich inzwischen als fehlerhaft herausgestellt weil er das Einschleusen und Ausführen von Code erlaubt.

Oops.

Der Fix dafür ist jetzt erhältlich. Diese Episode zeigt aber ganz gut, dass die Reaktionszeit auf Sicherheitslücken nicht das einzige Kriterium ist: auch die Korrektheit des Patches ist relevant. Es gibt einen Grund, warum kommerzielle Softwareanbieter ein rigoroses Testprogramm für Updates fahren. Ja, das kostet Zeit, spart aber hoffentlich solche Gotchas wie wir es gerade von PHP gesehen haben.

Autor: Otmar Lendl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
2. Oktober 2018 | Beschreibung Adobe ...
Kritische Sicherheitslücken in Adobe Acrobat und Reader - Patches verfügbar
19. September 2018 | Beschreibung Adobe ...
mehr ...
Der nächste Meilenstein: [CERT.at #1000000]
26. September 2018 | ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2012/2/7 - 10:35:56
Haftungsausschluss / Datenschutzerklärung