Der "Month of PHP Bugs" hat begonnen
Jetzt kommt PHP unter die Lupe der Sicherheitsexperten.
1. März 2007
Nach Browsern, Linux-Kernel und Apple-Software wird nun der PHP-Kern einen Monat lang auf Herz und Nieren geprüft. Die Initiatoren wollen im Rahmen des "Month of PHP Bugs" wie bei den bisherigen Monatsprojekten mit täglichen Bulletins über Fehler und Sicherhteitslücken informieren. Diesmal will man aber nicht bloss einen Mangel pro Tag anprangern, dafür beschränkt sich der PHP-Bug-Monat auf Fehler in PHP selbst. Schwachstellen in den zahlreichen PHP-basierten Web-Anwendungen werden nicht untersucht.
Wie schon bei den bisherigen, teils umstrittenen "Monaten" betont das Projektteam auch diesmal, die Publikation der Fehler sei nicht als Angriff auf die Entwickler zu verstehen. Er diene gemäss dem Motto "responsible discosure" vielmehr der Verbesserung der Sicherheit.
Die erste gemeldete Schwachstelle betrifft den Referenzzähler für Variablen in PHP 4: Weil dieser nur 16 Bit lang ist, kommt es leicht zu einem Overflow, was die Manipulation von Variablen und das Einschleusen von fremdem Code ermöglicht. (ubi)
Wie schon bei den bisherigen, teils umstrittenen "Monaten" betont das Projektteam auch diesmal, die Publikation der Fehler sei nicht als Angriff auf die Entwickler zu verstehen. Er diene gemäss dem Motto "responsible discosure" vielmehr der Verbesserung der Sicherheit.
Die erste gemeldete Schwachstelle betrifft den Referenzzähler für Variablen in PHP 4: Weil dieser nur 16 Bit lang ist, kommt es leicht zu einem Overflow, was die Manipulation von Variablen und das Einschleusen von fremdem Code ermöglicht. (ubi)
Artikel kommentieren
