+- ok-webhosting Forum (https://forum.ok-webhosting.de)
+-- Forum: Allgemein (https://forum.ok-webhosting.de/forumdisplay.php?fid=3)
+--- Forum: Ankündigungen (https://forum.ok-webhosting.de/forumdisplay.php?fid=7)
+--- Thema: php Einstellung / Änderung fopen=off (/showthread.php?tid=38)
php Einstellung / Änderung fopen=off - ok-webhosting - 10.10.2004
Sehr geehrte ok-webhosting Kunden,
Durch Schwachstellen kann ein Angreifer beliebigen Skript-Code in betroffene PHP-Skripte einfuegen. Der Angreifer benoetigt einen eigenen Webserver, um den Code bereitszustellen, der in die PHP-Skripte eingefuegt wird.
Gemaess Meldungen wurden auf kompromittierten Systemen IRC-Bots installiert, mittels derer die Systeme ferngesteuert und zum Beispiel als
Warez-FTP-Server oder fuer die Durchfuehrung von DDoS Attacken werden koennen.
Betroffen sind Webserver, wenn in der Konfiguration php.ini die Option
"allow_url_fopen = on"
gesetzt ist und zusaetzlich ein PHP-Skript aufgerufen werden kann,
das dynamisch Code auf unsichere Weise nachlaedt, z.B. mittels
if (!isset($realm))
{
include "home.template";
}
else
{
include $realm ;
}
Die oben genannte Option bewirkt, dass Aufrufe der Funktion fopen()
ueber einen URL-Wrapper durchgefuehrt werden. D.h. anstelle eines
Pfades im lokalen Dateisystem kann eine URL auf einem entfernten
Webserver angegeben werden. Die include Anweisung bindet in diesem
Fall den Skript-Code ein, der nach einem HTTP-Request der URL von dem
entfernten Webserver zurueckgegeben wird.
Ein Angreifer kann diese Klasse von Schwachstellen mittels eines
speziell konstruierten HTTP Get-Requests ausnuzten, in dem eine URL
auf einen vom Angreifer kontrollierten Webserver beinhaltet ist.
Aus den o.g. Gründen wurde, sofern noch nicht geschehen, auf unseren Server die Option "allow_url_fopen" dekativiert!
Sollte es in diesem Zusammenhang zu Problemen mit Php-Scripten Ihrer Präsenz kommen, bitten Sie den Author des Scriptes bitte darum für Abhilfe zu sorgen!