offene PHP-Lücke

Kritischen Sicherheitslücke in PHP, es sollte eigentlich nicht an die Öffentlichkeit geraten, so lang die Entwickler an einem fix arbeiten. wir wollen aber euch die News nicht vor enthalten um sicherheit vorkehrungen zutreffen. Betroffen sind Server, die PHP im CGI-Modus betreiben; FastCGI-Installationen von PHP sind nicht betroffen.

Ein Team entdeckte das Problem während eines Capture-The-Flag-Wettbewerbs. Im Wesentlichen beruht es darauf, dass man dem PHP-CGI-Programm über den Aufruf spezieller URLs Kommandozeilenparameter unterjubeln kann. So sorgt etwa die URL
http://localhost/index.php?-s
dafür, dass der Web-Server php-cgi mit dem Parameter -s aufruft wird, was den PHP-Quellcode von index.php als HTML ausgibt, statt ihn auszuführen. Das wäre an sich schon schlimm genug, weil PHP-Applikationen oft kritische Daten wie Zugangsdaten für Datenbanken enthalten. Doch laut den Entdeckern kann man damit auch direkt Code einschleusen und ausführen lassen, was die Lücke in die höchste Gefahrenstufe hebt.

Link

Aktuell hilft leider auch kein Update auf PHP 5.4.2 oder 5.3.12 (da beide Versionen leider immer noch leicht abgewandelt die Lücke nicht schliessen.). Einzig ein  .htaccess (mod-rewrite) Schutz zum abfangen von solchen Abfragen hilft im Augenblick weiter.

RewriteEngine on

RewriteCond %{QUERY_STRING} ^[^=]*$

RewriteCond %{QUERY_STRING} %2d|\- [NC]

RewriteRule .? – [F,L]

 


Wir versuchen euch alle neuen News hier mitzuteilen!!!

No comments.

Leave a Reply