Vorsicht bei multipart/form-data und PHP < 5.3.1
Heute kam auf der Full Disclosure Liste eine kritische dos Lücke von PHP, die durch unbedachtes einsetzen von “multipart/form-data” in Formularen zum Lahm legen des Servers führen kann. Der Webserver legt pro “hochgeladene” Datei eine Temporäre Datei an und löscht diese nach abarbeiten des Skripts. Wenn jetzt ein Angreifer ein gefaktes Formular auf eine PHP Datei mit zum Beispiel 15.000 kleinen Dateien 20 x abschickt, muss der Server rund 300.000 Schreibzugriffe ausführen, dass das selbst den besten Server in die Knie zwingen kann, sollte jedem klar sein. Jetzt kann man wenn man Uploads überhaupt nicht braucht explizit abstellen:
file_uploads = Off
Oder aber auf PHP 5.3.1 updaten welches die Direktive max_file_uploads bereitstellt:
max_file_uploads = 10
Diese ermöglicht zu bestimmen wie viele Dateie gleichzeitig an den Server gesendet werden dürfen. Ich habe die Mail von Bogdan Calin als Textdatei hochgeladen.
Wer PHP 5.2.x einsetzt sollte sich vielleicht mal Suhosin anschauen, bei Debian/Ubuntu ist Sicherheits-Extension und der Patch von Stefan Esser mittlerweile wohl Standard und via suhosin.upload.max_uploads lässt sich die Anzahl der Uploads auch begrenzen.
Stimmt auf den Suhosin Patch hinzuweisen, habe ich vergessen. Steht auch so noch mal in der Mail von Bogdan.