Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSicherheit: Gefährliche Lücke in PHP-Webmailer
Der polnische Sicherheitsforscher Dawid Golunski von den Legal Hackers hat eine gefährliche Lücke in der PHP-Bibliothek PHPMailer entdeckt. Damit lässt sich in PHPMailer-Versionen vor 5.2.20 aus der Ferne Schadcode ausführen, da Eingaben in das Webmail-Formular ungeprüft an Sendmail übergeben werden.
Ja dürfte nur wenige betreffen, zum einen muss man ein Absenderfeld eingeben dürfen und zum anderen dürfte dieses Feld dann nicht selbst validiert werden. Sendmail verwenden wohl die meisten per Default, aber SMTP-Nutzer sind dann auch schon mal sicher.
Die meisten werden eh einen Formulargenerator verwenden (in z. B. Joomla, WordPress & Co) oder wenn sie selbst die Formulare erstellen, dann das Absender-Feld auch selbst validieren, alles andere wäre grob Fahrlässig.
Von daher werden wohl primär nur wenige selbst gebastelte Seiten verwundbar sein, bei denen dürfte es eh keine Daten zu klauen geben ;-)
Oh man, dass sowas nicht früher gefunden wird? Wenn der Code auch nur von einem Sicherheitsinformatiker der sich mit PHP auskennt durchgeschaut würde, wären die Fehler wohl aufgefallen... Aber gut, wenn es dann jemand anderes macht
Auf der Projektseite wird 5.2.19 immer noch als aktuellster stable-Build geführt. Das animiert wahrscheinlich auch nicht jedem jetzt sofort aktiv zu werden.
PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
PHP, lebt diese kaputte Sprache immer noch? Dieser Bug ist ein tolles Beispiel warum man nicht mehr auf PHP setzen sollte. Und ich rede nicht davon, dass der Programmierer vergessen hat, die Eingabe zu überprüfen.
Das fehlende Sicherheitskonzept ist heutzutage untragbar, wie bereits geschrieben: Eine Sprache darf so einen Fehler in dieser Art überhaupt nicht zulassen. Ich habe vor über 10 Jahren auch mit PHP meine Brötchen verdient, aber die IT-Welt dreht sich nun mal weiter. Das ist generell ein Problem mit PHP. Entweder sind es blutige Anfänger die mit PHP arbeiten (und die - wie in diesem Fall - “vergessen“ dass man sämtliche Eingaben gegen XSS überprüfen muss oder absolut lernresistente Kollegen. Die meisten Webentwickler kommen früher oder später (wenn sie mit PHP begonnen haben) mit anderen Sprachen in Berührung. Und dann gehen sie nicht mehr zurück zu PHP.
Es gibt gefühlt tausende Seiten im Netz, die dir sagen, warum die Sprache kaputt ist, diese hier gefällt mir am besten:
Ja und welche Alternativen beherrscht ihr? Python, Ruby, Node.js oder auch ASP.NET sind allesamt um Welten besser. Vor 15 Jahren war PHP so gut wie alternativlos, heutzutage ist PHP keine Alternative mehr.
selber dran schuld, wenn man so so eine alte version verwendet. in der zwischenzeit gab es schon einige neuere versionen und jetzt sind wir schon bei php 7.
gerade als entwickler sollte man doch schauen, das man seine scripte halbwegs auf modernem code aufbaut.
