ok-webhosting Forum
php Einstellung / Änderung fopen=off - Druckversion

+- ok-webhosting Forum (https://forum.ok-webhosting.de)
+-- Forum: Allgemein (https://forum.ok-webhosting.de/forumdisplay.php?fid=3)
+--- Forum: Ankündigungen (https://forum.ok-webhosting.de/forumdisplay.php?fid=7)
+--- Thema: php Einstellung / Änderung fopen=off (/showthread.php?tid=38)



php Einstellung / Änderung fopen=off - ok-webhosting - 10.10.2004

Sehr geehrte ok-webhosting Kunden,

Durch Schwachstellen kann ein Angreifer beliebigen Skript-Code in betroffene PHP-Skripte einfuegen. Der Angreifer benoetigt einen eigenen Webserver, um den Code bereitszustellen, der in die PHP-Skripte eingefuegt wird.

Gemaess Meldungen wurden auf kompromittierten Systemen IRC-Bots installiert, mittels derer die Systeme ferngesteuert und zum Beispiel als
Warez-FTP-Server oder fuer die Durchfuehrung von DDoS Attacken werden koennen.

Betroffen sind Webserver, wenn in der Konfiguration php.ini die Option

"allow_url_fopen = on"

gesetzt ist und zusaetzlich ein PHP-Skript aufgerufen werden kann,
das dynamisch Code auf unsichere Weise nachlaedt, z.B. mittels

if (!isset($realm))
{
include "home.template";
}
else
{
include $realm ;
}

Die oben genannte Option bewirkt, dass Aufrufe der Funktion fopen()
ueber einen URL-Wrapper durchgefuehrt werden. D.h. anstelle eines
Pfades im lokalen Dateisystem kann eine URL auf einem entfernten
Webserver angegeben werden. Die include Anweisung bindet in diesem
Fall den Skript-Code ein, der nach einem HTTP-Request der URL von dem
entfernten Webserver zurueckgegeben wird.

Ein Angreifer kann diese Klasse von Schwachstellen mittels eines
speziell konstruierten HTTP Get-Requests ausnuzten, in dem eine URL
auf einen vom Angreifer kontrollierten Webserver beinhaltet ist.

Aus den o.g. Gründen wurde, sofern noch nicht geschehen, auf unseren Server die Option "allow_url_fopen" dekativiert!

Sollte es in diesem Zusammenhang zu Problemen mit Php-Scripten Ihrer Präsenz kommen, bitten Sie den Author des Scriptes bitte darum für Abhilfe zu sorgen!