Über eine schwere Sicherheitslücke in PHP 5.3.9 lässt sich Code einschleusen und ausführen, auch von entfernten Rechnern. Mit der Sicherheitserweiterung Suhosin lässt sich die Lücke schließen.

Über einen schweren Fehler in der Skriptsprache PHP 5.3.9 lässt sich auch über das Netzwerk Code einschleusen und und ausführen. Ein Patch ist in der Entwicklerversion von PHP bereits eingeflossen, steht aber in der stabilen Version noch aus. Zunächst wird eine reparierte Version über die Snapshot-Server snaps.php.net und windows.php.net zur Verfügung gestellt. Ob der Bug auch in älteren Versionen behoben wird ist ebenfalls unklar. Bislang gibt es noch keine offizielle Beschreibung vom PHP-Team. Ein Workaround ist ebenfalls noch nicht bekannt.

Die Lücke entstand durch einen Patch, der eine weitere Sicherheitslücke schließen sollte, die Denial-of-Service-Angriffe über Hash-Kollisionen verhindert. Um solche DoS-Angriffe zu verhindern, wurde der Wert von max_input_vars in php_variables.c auf 100 herabgesetzt. Allerdings schlich sich bei der Implementierung dann der aktuelle Fehler ein.

Die Sicherheitserweiterung Suhosin soll von der Lücke nicht betroffen sein. Der Suhosin-Patch bietet weniger Sicherheit. Laut Suhosin-Entwickler Stefan Esser kann vorübergehend die Variable max_input_vars auf einen hohen Wert gesetzt werden, etwa 1 Milliarde. Dann sei PHP wieder anfällig für DoS-Angriffe, könne aber nicht durch Schadcode kompromittiert werden.

Quelle: Golem.de

Update Seitens Golem.de vom 2. Februar 2012, 10:00 Uhr

Inzwischen hat das PHP-Team den Fehler behoben und das Update 5.3.10 veröffentlicht. Reparierte Version der Skriptsprache sind bereits in einigen Repositories verfügbar, darunter für Red Hat Enterprise Linux 4, 5 und 6, Fedora sowie Debian.

Die Lösung für Internet Service Provider!

Unsere Reseller-Lösung ZSM ist eine webbasierte Administrationsplattform für Unternehmer und die es werden möchten, die selbst als Hoster/Provider starten möchten oder bereits bestehende Anbieter, die ihr Produkt Portfolio um weitere, attraktive Leistungen erweitern wollen. Mit der ZSM als Administrationsplattform ist jedem der Einstieg in das Server Reselling-Business ermöglicht und das ganz ohne finanzielle Investitionen wie; Hardware kauf. Man hat ein breites Produktportfolio zur Verfügung, zahlt nur tatsächlich angelegte, laufende Produkte außerhalb von Testzeiträumen und keinerlei Monatlichen Nutzungsgebühren oder ähnliches Grundgebühren.

Alle unserer Produkte basieren auf aktuellsten DELL PowerEdge Servern und modernsten DELL Storage-Systemen, wie der DELL Equallogic-Serie.

Die Nutzung der ZSM gestaltet sich denkbar einfach, nachdem Sie Ihren Zugang von uns erhalten haben, können Sie das Layout der ZSM komplett Ihren Wünschen anpassen, Ihr eigenes Logo einfügen, eine eigene Sub-Domain oder eine komplett eigene Domain nutzen, dem Portal einen eigenen Produktnamen geben und sämtliche Mailings des Systems auf Wunsch anpassen, so dass die komplette ZSM nach Ihren Vorgaben auf Ihre Corporate Identity gebranded ist. Im nächsten Schritt brauchen Sie nur noch Ihre Preise festlegen und wenn gewünscht, eigene Produktnamen und –beschreibungen einfügen – fertig ist die Basis für Ihr eigenes Server Reselling-Geschäft. Die Anpassungen sind über eine sehr einfach gehaltene Oberfläche vorzunehmen und keine Programmier- oder Grafikerkenntnisse sind nötig.

Jetzt können Sie Ihre Kunden anlegen, ganz egal ob Sub-Reseller oder Endkunde, die ZSM ermöglicht Ihnen beide Verkaufsmodelle. Ihre Kunden nutzen die Tarifprodukte aus der ZSM und Sie kassieren mit minimalem Aufwand Ihre Margen. Alle unserer Produkte sind mit 1 Monat Laufzeiten verbunden, die virtuellen Server werden monatlich abgerechnet und sind jederzeit kündbar, was auch bei nicht zahlenden Kunden das Risiko von finanziellen Verlusten eliminiert. Alle Produkte können zudem mit wenigern Klicks angelegt und administriert werden – auch ohne tiefgreifende IT-Kenntnisse.

Um den kompletten administrativen Background seitens der Hardware, dem Netzwerk und den Betrieb des Rechenzentrums kümmern wir uns im Hintergrund und sorgen dafür, dass all Ihre Produkte zu vollster Kundenzufriedenheit laufen. Außerdem aktualisieren wir unsere Produkte und die ZSM selbst regelmäßig, was Ihr komplettes Portfolio marktaktuell hält und Ihnen keinen Nachteil gegenüber dem Wettbewerb einbringt.

Reselling leicht gemacht – Bestellung

Die Registrierung ist kostenlos! Sie erhalten von uns per EMail alle Unterlagen und Resellerpreise zur Einsicht.

Zur Produktbestellung: Server-Reselling (All2Host.de)

Wartungsfenster RZ Düsseldorf am 21.04., 17.00 – 19.00 Uhr

Sehr geehrte Kunden,

wir führen heute, 21.04.2010, zwischen 17.00 und 19.00 Uhr dringende Wartungsarbeiten an einem unserer Webserver im Rechenzentrum in Düsseldorf durch. In diesem Zeitfenster werden Web, Datenbank- und Maildienste zeitweise nicht erreichbar sein. Ob Sie davon betroffen sind können Sie feststellen, wenn Sie ihre Domain anpingen und eine der folgenden IPs erhalten:

195.34.83.7
91.184.37.196
91.184.37.197
91.184.37.208

Wir bitten um Ihr Verständnis.

Mit freundlichen Grüßen,
Ihr tropiaIT Service-Team

Wartungsfenster RZ Düsseldorf am 29.03., 12.30 bis 13.30 Uhr

Sehr geehrte Kunden,

wir führen am Montag, 29.03.2010, zwischen 12.30 und 13.30 Uhr Wartungsarbeiten an unserem Netzwerk im Rechenzentrum in Düsseldorf durch. In diesem Zeitfenster werden einige Server für maximal 2 Minuten nicht erreichbar sein. Wir bitten um Ihr Verständnis.

Mit freundlichen Grüßen,
Ihr tropiaIT Service-Team