PHP Sicherheitslücken <-> Python ?!?!?

jens · Dienstag 1. November 2005, 19:05

Mal wieder gibt es sicherheitslücken in PHP: http://www.heise.de/security/news/meldung/65598

Im Forum gab's den Thread PHP vs. ASP.NET 14:7

Nun würd mich mal interessieren wie es bei Python denn so vergleichsweise aussieht... Also solange ich mich mit Python auseinander setzte, gab es keine vergleichsweisen Meldungen... Da gab es mal diesen Bug im SimpleXMLRPCServer und das war es auch schon... Auch http://www.python.org/security/ führt nur diesen Fehler auf.
Eine Suche nach "Sicherheitslücke Python" brachte auch nur Buffer Overflow in Python 2.2. Eine suche nach Sicherheitslücke PHP liefet da schon deutlich mehr

Auch wenn es da viel um Fehler in Software geschrieben in PHP und nicht um PHP selber geht...

Natürlich spielt da wieder die wesendlich größere verbreitung von PHP im Web mit, aber wie sieht ihr das mit dem Vergleich PHP <-> Python???

mitsuhiko · Dienstag 1. November 2005, 19:18

Du hast ein Problem nicht. Code Injections. Alles was auf .php endet wird ausgeführt, das gilt für python scripte nicht.
Dafür ist es auch schwerer Webanwendungen zu schreiben (ich denke nur an meine WSGI Erfahrungen). Aber viele Sicherheitslücken sind nicht in Python.

jens · Mittwoch 2. November 2005, 14:04

Ach, da fällt mir gerade der Artikel "Mail-Formulare auf Webseiten absichern" in der c't 22/05, Seite 208 ein...
Ein Beispiel-PHP-Listing findet sich hier: http://www.heise.de/ct/ftp/05/22/208/

Dabei kann man bei einfach gestrickten Mail-Formularen in PHP das ganze zum SPAM versand misbrauchen, weil man zusätzliche BCC-Empfänger einschleusen kann... Das liegt an der dumm programmierten mail-Funktion in PHP, die die Header nicht wirklich kapseln, wie es Python's email-Module macht. Laut Artikel ist auch das entsprechende Perl-Modul sicher vor missbrauch...

EDIT: Wie das gehen kann, steht hier: http://www.python-forum.de/viewtopic.php?p=33551#33551

jens · Montag 7. November 2005, 18:17

Und gerade gibt es wieder zwei Sicherheitslücken in PHP:
http://www.heise.de/security/news/meldung/65834
http://www.heise.de/security/news/meldung/65820
Anlass diesen Thead nochmals ins Leben zu rufen...

SigMA · Montag 7. November 2005, 18:46

Sicherheitslücken in Python selber sind wohl relativ selten! Aber wenn man was in Python shcreibt muss man genauso wie bei PHP aufpassen keine Sicherheitslücke reinzubauen ... ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!

SigMA

jens · Freitag 25. November 2005, 08:56

SigMA hat geschrieben:ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!

In letzter Zeit tut sich bei PHP auch einiges. Wohingegen es bei Python relativ ruhig bleibt... Das muss nicht unbedingt schlecht sein. Man muss schließlich nicht ständig was neues lernen. Aber ich hoffe doch, das die Entwicklercommunity von Python recht fleißig ist

mitsuhiko · Mittwoch 7. Dezember 2005, 14:43

jens hat geschrieben:
SigMA hat geschrieben:ich habe irgendwie das Gefühl, dass PHP veraltet sist und mal komplett neu aufgerollt werden müsste!
In letzter Zeit tut sich bei PHP auch einiges. Wohingegen es bei Python relativ ruhig bleibt... Das muss nicht unbedingt schlecht sein. Man muss schließlich nicht ständig was neues lernen. Aber ich hoffe doch, das die Entwicklercommunity von Python recht fleißig ist

RUHIG??? Was glaubst du was gerade abgeht ^^. PyPy wird marktreif. Wenn das keine Veränderung ist...

jens · Mittwoch 7. Dezember 2005, 14:43

Ich hab mal eine Wiki Seite angelegt: http://pythonwiki.pocoo.org/Thema_Sicherheit

jens · Mittwoch 7. Dezember 2005, 14:45

blackbird hat geschrieben:RUHIG??? Was glaubst du was gerade abgeht ^^. PyPy wird marktreif. Wenn das keine Veränderung ist...

Naja, das kann ich noch nicht richtig einschätzen, was es wirklich für uns bringen wird...

Leonidas · Mittwoch 7. Dezember 2005, 16:59

blackbird hat geschrieben:PyPy wird marktreif. Wenn das keine Veränderung ist...

Na, das sehe ich skeptisch, obwohl die Arbeit von Tismerysoft, Armin Rigo & Co. sicher toll ist. Vielleicht bist du schon zu stark von xorAxAx' Propaganda beeinflusst

jens · Montag 16. Januar 2006, 09:17

(btw. Ich hab das Thema mal geteilt. Über "Parameterübergabe an Kommandozeilen Tool" geht nun hier http://www.python-forum.de/viewtopic.php?t=4916 weiter...)

Nun will ich mal diesen Thread mal wieder beleben: <ironie>PHP hat sich in den vergangenen Tagen wieder mit hervoragendem Support in die NEWS gebracht</ironie>: PHP 5.1.2 update kurz nach dem erscheinen von 5.1.1

und PHP 4.4.2 update mit vielen Bugfixes

Und wie sieht es bei Python aus? Keine Updates seit Python 2.4.2 (vom 28. September, 2005) also fast 4 Monate. Das letzte Sicherheitsloch ist immer noch die XMLRPCServer Geschichte von 03.02.2005 also seid fast einem Jahr! Weiter so, hoffe ich

Sehe ich das PHP<->Python Verhätniss evtl. zu voreingenommen?

EDIT: http://forum.golem.de/read.php?8207,543 ... msg-543422

modelnine · Montag 16. Januar 2006, 11:02

Sehe ich das PHP<->Python Verhätniss evtl. zu voreingenommen?

Ja.

Unabhängig davon dass PHP eine Programmiersprache ist die ich nicht mit dem kleinen Finger anfassen würde ist gerade die Standardbibliothek von PHP doch eher auf Web-Anwendungen ausgerichtet. Ein sinnvoller Vergleich vergleicht also nicht die Anzahl der Fixes für das Python-Grundpaket (welches eben "nur" aus Einzelbibliotheken besteht und so gut wie keine Frameworkfunktionalität beinhaltet) und PHP, sondern eher die Fixes zwischen einem Python-Web-Framework und PHP.

Und da sieht der Vergleich schon ein bißchen anders aus.

Das soll jetzt keine Führsprache für PHP sein, nur sollte man halt fair bleiben wenn man Dinge miteinander vergleicht. Und PHP nicht aufgrund von Sicherheit ablehnen, sondern allein schon wegen der Syntax.

--- Heiko.

Leonidas · Montag 16. Januar 2006, 13:54

modelnine hat geschrieben:Und PHP nicht aufgrund von Sicherheit ablehnen, sondern allein schon wegen der Syntax.

Hahaha! Wir brauchen eine Forums-Quote Seite im Wiki

(hmm, und eine Forums-Seite überhaupt.. wenn ich Zeit finde richte ich die mal ein.)

modelnine · Montag 16. Januar 2006, 14:00

Hahaha!

Iss doch wahr!

--- Heiko.

jens · Dienstag 17. Januar 2006, 08:11

So unbefleckt wie ich es gedacht hab, ist Python dann aber auch wieder nicht... Zumindest gibt es ein paar Bugs:
http://python.org/2.4.2/bugs.html
Ist aber alles nichts wirklich wichtiges....

modelnine · Dienstag 17. Januar 2006, 11:40

Ist aber alles nichts wirklich wichtiges....

Und unabhängig davon sind das alles Fehler beim Installieren oder der Test-Suite, nicht in den Modulen selbst.

--- Heiko.

Leonidas · Dienstag 17. Januar 2006, 19:06

jens hat geschrieben:So unbefleckt wie ich es gedacht hab, ist Python dann aber auch wieder nicht... Zumindest gibt es ein paar Bugs:
http://python.org/2.4.2/bugs.html
Ist aber alles nichts wirklich wichtiges....

Mal sehen:

Installer Bugs: Solange er richtig funktioniert interessiert es mich nicht ob er VBS braucht oder dass die Verknüpfungen kaputt sind. Kann man ja schnell beheben
IDLE-Probleme mit Firewalls: Es gibt gute Alternativen zu IDLE
ossaudiodev hängt auf einigen Red Hat Systemen.. naja, der Sound-Support von Python ist sowieso nicht besonders gut.
Solaris tar entpackt die tarballs manchmal falsch: es gibt oft Probleme mit den Solaris-Tools, deswegen ist es auch dort praktisch GNU-Tools installiert zu haben.
Paar Unittests gehen nicht. Ist auch nicht so tragisch

Dagegen zeigt der Bugtracker momentan 902 Bugs an - müssen nicht alle tatsächlich Bugs sein, aber einige davon bestimmt. Don't panic.

jens · Freitag 16. Juni 2006, 06:21

Zur Auffrischung:
PHPs eregi() ist nicht "binary safe"
http://www.heise.de/security/news/meldung/74319

nett

jens · Freitag 6. Oktober 2006, 15:19

Und wieder PHP: Integer Overflow im Modul zend_alloc.c
http://www.heise.de/security/news/meldung/79120

das: http://www.heise.de/security/news/meldung/76976

dieses: http://www.heise.de/security/news/meldung/78010

und jenes: http://www.heise.de/security/news/meldung/79044

Mr_Snede · Samstag 7. Oktober 2006, 12:04

Bug in Python lässt beliebigen Code ausführen
--> http://www.heise.de/newsticker/meldung/79153