Kritische Sicherheitslücke in PHP / Sicherheitsupdate löst Probleme nur unvollständig - Druckversion +- ok-webhosting Forum (https://forum.ok-webhosting.de) +-- Forum: Allgemein (https://forum.ok-webhosting.de/forumdisplay.php?fid=3) +--- Forum: Security (https://forum.ok-webhosting.de/forumdisplay.php?fid=10) +--- Thema: Kritische Sicherheitslücke in PHP / Sicherheitsupdate löst Probleme nur unvollständig (/showthread.php?tid=381) |
Kritische Sicherheitslücke in PHP / Sicherheitsupdate löst Probleme nur unvollständig - ok-webhosting - 10.05.2012 In der beliebten Scriptsprache PHP klafft aktuell eine Sicherheitslücke, mit der sich Besucher im Internet den Quellcode der aufgerufenen Seiten anschauen können. Betroffen sind die CGI-Installationen wie sie im Shared Hosting besonders häufig vorkommen. FastCGI und mod_php sollen nicht betroffen sein. Inzwischen gibt es zwar einen Fix, der löst das Problem aber nur unvollständig. Trotzdem gibt es für betroffene Admins Möglichkeiten zum Schutz. Schon seit vielen Jahren soll die entdeckte Lücke im Quellcode enthalten sein, jetzt wurde sie im Rahmen eines Wettbewerbes identifiziert und unbeabsichtigt vorschnell veröffentlicht. Mittels eines simplen Query-Parameters lässt sich für CGI PHP Installationen der Sourcecode der aufgerufenen Seiten anzeigen. Die PHP Entwickler haben nachgelegt und PHP 5.3.12 sowie 5.4.2 veröffentlicht, die einen Teil dieses Problems beheben. Aber leider nicht komplett. Der aktuell einzige Schutz für Admins ist es, die betreffenden Queries mittels einers Rewrite-Rule auszufiltern. Anmerkung: Auf hiesigen Systemen kommt ausschließlich mod_php zum Einsatz, dass von o.g. Problemen nicht betroffen ist. |