Re[4]: [php] upload-sicherheitsluecke

[Bernd Kohnen]

Hi,

----- Original Message -----
From: "Egon Schmid" <eschmid_(at)_php.net>
To: <php_(at)_phpcenter.de>
Sent: Thursday, February 28, 2002 8:11 PM
Subject: Re: Re[4]: [php] upload-sicherheitsluecke

> Zu deiner Beruhigung, in 4.1.2 ist wahrscheinlich ein weiterer
> Fehler drinn. Da war heute eine kleine Diskussion von Rasmus Lerdorf
> und Stefan Esser auf der PHP-CVS Liste so um 10:22 und 10:39 unserer
> Zeit.

Hoffentlich nicht noch so ein super-GAU?

Leider weiss ich noch immer nicht mal welcher Fehler eigentlich
in allen bisherigen PHP Versionen drinne ist. Ich habe auch schon
das komplette Archiv der Mailinglisten durchsucht aber nichts
gefunden ausser einigen beschwerden das auch da keiner über
4.1.2 informiert war. (Kann mir einer sagen in welchem Thread
das besprochen wurde? oder die Fehlernummer?)

Ich sehe das wie Marc Linke schrieb: Das IST ein GAU.
Und wie auf http://security.e-matters.de/advisories/012002.html
in einem Update mittlerweile zu lesen ist:

Please notice also, that the PHP team now learned that there is really a
badly working exploit circulating in the underground. At the time this
advisory was originaly posted we only heard rumours.

Die "Bösen" sind weit besser informiert als wir. (Und wäre ich ein böser
Hacker würde ich nach einem kurzen Vergleich von 4.1.1 und 4.1.2 Source
eh wissen was Sache ist - habe ich aber leider keine zeit zu und
auch nicht genug Hacker-Ahnung)

Ich warte jetzt mal stündlich darauf das dieses Tool die Runde
unter den script-kiddies macht und das massen hacking ausbricht.
Ich weiss nicht was dieses Tool kann aber wenn es kann was ich
befürchte war codered in der tat ein Witz gegen das was dann
ausbricht.

Ich befürchte die Politik des "unter den teppich kehrens" wird
hier ganz böse nach hinten los gehen.

Ziemlich schwarz sehende Grüße,
bernd



_________________________________________________________
Do You Yahoo!?
Get your free _(at)_yahoo.com address at http://mail.yahoo.com