Sperrung PHP-Parameter "allow_url_fopen"
15.05.2006
—
abgelegt unter:
Technische Änderungen Archiv
geschlossen
| Datum |
15.05.2006 |
| Zeit |
|
| Dauer |
|
| Betroffen |
Virtual/Reseller Hosting Servers |
|---|---|
| Folgen | Erhöhte Sicherheit |
| Ursache | allow_url_fopen" erlaubt den Zugriff und Einbindung
von entfernten Dateien via FTP und HTTP. Diese Funktion wird seit
einigen Wochen vermehrt für Missbräuche durch Fremdparteien (z.Bsp. für
Spam-Versand etc.) eingesetzt. Die Sperrung greift ab dem 15. Mai 2006 15:00. Weitere Informationen: Durch unsichere PHP-Scripts lässt sich weiterer Script-Code einschleusen, der beispielsweise von einem anderem Webserver nachgeladen und ausgeführt wird. Anstelle des Pfades zu einer lokalen Datei ist es so möglich, eine URL zu einer Datei auf einem Webserver anzugeben. Der include-Befehl lädt das Skript von dort aus nach und bindet ihn ein. Liegt der Exploit-Code bereit und ist ein verwundbares Skript gefunden, kann ein Angreifer über einen einzigen HTTP-Get-Request die Attacke starten. Falls Scripts auf Ihrem Account auf diese Funktion angewiesen sind, bitten wir Sie dies via Support System zu melden, damit die Funktion auf Domain-Level aktiviert werden kann. Falls jedoch entsprechender Schaden durch unsichere Scripts auf Ihrem Account entsteht, welcher im direkten Zusammenhang mit dieser Funktion steht, werden die Aufwandskosten an den Account-Betreiber mit Angabe der Log-Auszüge weiterverrechnet. |
| Updates | |
| Links |
