Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Kritische Sicherheitslücke in PHP / Sicherheitsupdate löst Probleme nur unvollständig
#1
In der beliebten Scriptsprache PHP klafft aktuell eine Sicherheitslücke, mit der sich Besucher im Internet den
Quellcode der aufgerufenen Seiten anschauen können. Betroffen sind die CGI-Installationen wie sie im Shared Hosting besonders häufig vorkommen.
FastCGI und mod_php sollen nicht betroffen sein
. Inzwischen gibt es zwar einen Fix, der löst das Problem aber nur unvollständig. Trotzdem
gibt es für betroffene Admins Möglichkeiten zum Schutz.

Schon seit vielen Jahren soll die entdeckte Lücke im Quellcode enthalten sein, jetzt wurde sie im Rahmen eines Wettbewerbes identifiziert und
unbeabsichtigt vorschnell veröffentlicht. Mittels eines simplen Query-Parameters lässt sich für CGI PHP Installationen der Sourcecode
der aufgerufenen Seiten anzeigen. Die PHP Entwickler haben nachgelegt und PHP 5.3.12 sowie 5.4.2 veröffentlicht, die einen Teil dieses
Problems beheben. Aber leider nicht komplett.

Der aktuell einzige Schutz für Admins ist es, die betreffenden Queries mittels einers Rewrite-Rule auszufiltern.

Anmerkung:
Auf hiesigen Systemen kommt ausschließlich mod_php zum Einsatz, dass von o.g. Problemen nicht betroffen ist.
Mit freundlichen Grüßen / Best Regards

Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg

Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Zitieren


Nachrichten in diesem Thema
Kritische Sicherheitslücke in PHP / Sicherheitsupdate löst Probleme nur unvollständig - von ok-webhosting - 10.05.2012, 16:19:41

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste