na klasse… siehe Punctilio
einzige Lösung zur Zeit: in der php.ini muss die Variable register_globals auf OFF stehen! Es gibt allerdings Anwendungen, die brauchen das auf ON. Nicht auch Drupal? Egal, auf jeden Falld daran denken, bevor man nun umstellt und am Ende geht ein Web-Programm nicht mehr.
Update bei Heise (danke ad!): Laut Esser [ein PHP Experte] liegt der Fehler, den der neue Exploit ausnutzt, nicht bei WordPress selbst, da es Sicherheitsabfragen gegen die eingesetzte Einbruchstechnik enthält. Laufe ein Server allerdings mit einer PHP-Version, die noch den Bug in zend_hash_del_key_or_index aufweist, lasse sich der implementierte Schutz aushebeln, so Esser. Betroffen von dem Fehler sind PHP-Versionen vor 4.4.3 beziehungsweise 5.1.4, sofern sie nicht gefixt wurden. In aktuellen Linux-Distributionen ist die Lücke nicht enthalten. Auch in der unter Debian-Stable eingesetzten Version 4.3.10 ist die Schwachstelle bereits seit August behoben.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Social Media & Digital Marketing Spezialist (m/w/d) Apollo Tyres (Germany) GmbH in Vallendar |
||
Praktikant (m/w/d) Talent Acquisition & Social Media Dr. August Oetker Nahrungsmittel KG in Bielefeld |
[…] siehe: Hier und Hier | Abgelegt in WordPress […]
Nein.
Sorry, hatte da grad eben nicht weitergelesen. Es ist eigentlich seit Jahren bekannt, das ein Setzen dieser Variable auf ON, das Tor zur Hölle öffnet. Und wenn es die Entwickler einer PHP-Anwendung, welches im Grund schon bei größeren Projekten sowieso zu überdenken ist, nicht schaffen, dies ohne diese Variable zu realisieren, dann hält sich mein Verständnis und das Bedürfnis, diese Anwendung zu verwenden, in ganz engen Grenzen. Solcherlei Skripte sorgen oft genug für Lücken im System, die schlicht nicht sein müssen. Den Anspruch darf und sollte man haben (und ja, osCommerce ist auch betroffen).
Auch ein Update der installiertetn PHP-Version dürfte das Problem beheben.
Lies/lest mal:
http://www.heise.de/newsticker/meldung/83555
Wenn man keinen Zugriff auf die php.ini hat, kann man die register_globals auch über htaccess abstellen, beschrieben in der PHP Manual:
http://de.php.net/manual/de/ini.core.php#ini.register-globals
Das geht aber auch nicht immer, je nachdem welche Rechte euch euer Webhoster zugesteht und anscheinend auch welche Apache verwendet wird. (siehe Kommentare bei Kapitel 29. Verwendung von Register Globals)
Dadurch lässt es sich aber immerhin auch realisieren, die register_globals nur für WordPress abzustellen.
Ich muss Falk Merten übrigens Recht geben, der wichtigste Satz zu dem Thema ist für mich daher auch „Diese Direktive wurde in PHP 6.0.0 entfernt.“.
Bei mir kommen übrigens auch keine Trackbacks mehr an seit dem Update auf 2.0.6 🙁
Geht es irgendjemandem genauso?
Autsch…
[…] Nach dem vor kurzem das Update auf 2.0.6 veröffentlicht wurde, gibt es erneut Probleme, wobei es diesmal an einem PHP-Problem liegt. Weitere Hinweise und mögliche Berichtigungen mit register_globals sind unter anderem bei Jowra, Michael und Robert zu finden. […]
[…] Original post by Robert Basic […]