AW: [php] upload-sicherheitsluecke

[Frank Rasche]

Norbert Pfeiffer am 28.02.2002: 
>Aber mal was anderes:
>Betrifft der Bug wirklich nur den File-Upload oder grundsaetzlich
>jede Uebermittlung von Daten mit der Methode POST ... <gruebel>

Es geht um
"multipart/form-data POST requests (as described in RFC1867)"
das sind definitiv File-Uploads und nicht generell alle POST-Requests.

>Wenn man wuesste, worum es geht, koennte man es testen, aber bei
>dem Schweigen hier, kann man nur hoffen, dass Bugs immer zuerst
>von 'freundlichen' Leuten gefunden werden... :-(

Tja, heute nachmittag hat Stefan Esser kurz im Heise-Forum gepostet.
<zitat>
Ausserdem hat keine der "Security" Organisation die jetzt
alle vom Exploit reden jemals jemanden von PHP benachrichtig.
Und es wurde uns auch nie das besagte Exploit ausgehändigt.
</zitat>

Insofern können wir weiter hoffen, dass die richtigen Leute zur
richtigen Zeit die Bugs finden

Gruss
Frank