PHP ist sicher, ich schwör!

Gebt euch mal den PHP Bug #38915 vom September 2006:

This bug makes php-includes vulnerabilities more dangerous. If the server uses mod_php, and we can execute shell commands via system(), then we can, e.g. stop apache processes (by sending a SIGSTOP), and to listen and process connections on 80 port (opened by Apache, and transmitted to us by PHP). Also we can write anything to its errorlog.
Und nein, das ist kein „neuer” Bug aus dem Jahre 2006. Auch 2002 hat schon jemand im Bug #20302 drauf aufmerksam gemacht. Wurde das Problem mittlerweile behoben? NEIN! Bernd Holzmüller beschreibt das Problem sehr schön in seine, Blog-Eintrag Apache mit mod_php übernehmen. Die Stabilität und Sicherheit von PHP dürfte nun endlich das „Niveau” der Microsoft Produkte erreicht haben, sodass es nun auch offiziell unter Windows Server 2008 unterstützt wird: With Windows Server 2008, Microsoft is also embracing PHP hosting on Windows via the FastCGI module for IIS 7.0..

Tagged as: , , | Author:
[Sonntag, 20080413, 11:22 | permanent link | 4 Kommentar(e)

Na sei nicht so, das ist ein Feature! Quasi ein API.... :)

Moment, nur dass ich das verstehe... ein Fehler, der vorrangig mal unter Unix/Linux und Apache bei Verwendung von mod_php auftritt, gibt Dir die Gelegenheit ber Windows Server 2008 und IIS zu lstern?

Also: FastCGI ist von dieser Lcke nicht betroffen (auch nicht bei Apache unter anderen OS). Der Windows Server ist von diesem Apache/PHP Problem also nicht einmal irgendwie betroffen. Und selbst wenn, dann liegt der Fehler immer noch bei PHP. Also was das jetzt soll,... ich verstehs nicht.Hauptsache gegen Microsoft wird wohl der Grund sein.

Ach Georg, Du solltest das Leben etwas leichter nehmen, sonst gehst du noch an einem Magengeschwr ein.

Natrlich kann das Problem beim IIS nicht auftreten, weil der PHP nicht "nativ" sondern nur ber die - zugegeben sehr schnelle - Krcke FastCGI anbietet. Was Bernd Holzmller in seinem Blog ja auch als "Lsung" unter Linux/Unix empfiehlt.

Ich habe jetzt seit 1987 mit MS-Software zu tun, seit 1990 enger. Seit ca. 2003 kann man Teile des MS Softwarenagebots (2003 Server, IIS 6) IMHO als "sicher" bezeichnen.

Ich habe also 13+ Jahre mit unsicheren MS-Produkten zu tun gehabt, da hat MS noch einiges an Image-Arbeit vor sich, um meine Vorbehalte zu beseitigen. Eine Schwalbe macht noch lange keine Sommer.

BTW.: Beim nchste Interview mit einem MS-MA, bei dem ungefragt das Thema "Sicherheit" erwhnt wird, stehe ich auf und gehe. Mittlerweile wird es nmlich mehr als lstig, dass ALLE, zu jeder passenden und unpassenden Situation erwhnen, wie sicher doch MS-Produkt XY sei. Und nein, nur weil man etwas ununterbrochen wiederholt, wird es weder "wahrer", noch steigert das die Chancen, dass dieses Thema abgedruckt wird.

MS und PHP - wenn der Teufel mit dem Beelzebub ...

Das mit dem Magengeschwr wird schon stimmen, aber das mit der Sicherheit,... wundert mich nicht. 20 Jahre + hat man Microsoft vorgeworfen, dass die Software unsicher ist. Jetzt ist Microsoft auf dem Gebiet gut unterwegs (nicht am Ziel! Aber verglichen mit anderen), ... deswegen wird dieses Thema wohl auch sehr vor den Vorhang geholt.

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

RSS Feed RSS Feed

Tag Cloud

2007, a-trust, a.trust, a1, accessability, acta, advent, age, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, collection, computer, computing, concert, conference, copyright, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, Domino, domino, Douglas Adams, download, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, Ein_Tag_im_Leben, email, eu, event, exchange, Extensions, fail, feedback, film, firefox, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, ibm, IBM, ical, image, innovation, intel, internet, internet explorer, iphone, ipod, isp, it, IT, java, javascript, job, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, living, lol, london, lost+found, lotus, Lotus, Lotus Notes, lotus notes, LotusNotes, lotusnotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, movie, mp3, multimedia, music, musik, männer, nasa, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rss, science, search, security, server, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, uk, unix, update, usa, vds, video, videoüberwachung, vienna, vim, Vim, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, wow, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist