10.05.2012, 15:44

Frank Ziemann

Zweiter Versuch

PHP-Updates stopfen CGI-Lücken

neue PHP-Updates ©PHP.net

Mit dem Update auf die neuen PHP-Versionen 5.4.3 und 5.3.13 beseitigen die PHP-Entwickler im zweiten Versuch eine Sicherheitslücke, die es einem Angreifer ermöglichen kann den Web-Server zu kompromittieren.
Die PHP-Entwickler hatten bereits vor einer Woche die PHP-Versionen 5.4.2 und 5.3.12 bereit gestellt, um eine Sicherheitslücke zu beheben. Doch dieser erste Versuch war nur ein Teilerfolg und beseitigt nicht alle Möglichkeiten die Schwachstelle auszunutzen. Jetzt haben die Entwickler nachgelegt und die Versionen 5.4.3 und 5.3.13 veröffentlicht.
Es handelt sich um eine seit mindestens acht Jahren unbemerkt gebliebene Schwachstelle bei der Behandlung einer bestimmten Methode zur Parameterübergabe per URL. So würde etwa das Anhängen der Zeichenkette "?-s" an eine beliebige Web-Adresse (einer anfälligen PHP-basierten Website) den PHP-Quelltext der Seite ausgeben – statt der vom Web-Server daraus erzeugten HTML-Seite. Unter Umständen kann es sogar möglich sein Code einzuschleusen und auszuführen.
Die Sicherheitslücke betrifft Installationen, die PHP als CGI-Modul (mod_cgi) ausführen, die Varianten mod_php (Apache) und php-fpm (nginx) sind hingegen nicht anfällig. Das oben genannte Beispiel ("?-s") kann genutzt werden, um anfällige Installationen zu identifizieren.
In PHP 5.4.3 haben die Entwickler noch eine weitere Lücke gestopft, die den älteren Versionszweig 5.3 nicht betrifft. Die Funktion apache_request_headers() ist anfällig für einen Pufferüberlauf, sofern PHP im CGI-Modus läuft. Ein Demo-Exploit für diese Schwachstelle ist bereits veröffentlicht worden.
Wer seine Website mit PHP betreibt, sollte umgehend das Update auf die neueste Version einspielen.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
1454466
Content Management by InterRed