10.10.2004, 16:24:37
Sehr geehrte ok-webhosting Kunden,
Durch Schwachstellen kann ein Angreifer beliebigen Skript-Code in betroffene PHP-Skripte einfuegen. Der Angreifer benoetigt einen eigenen Webserver, um den Code bereitszustellen, der in die PHP-Skripte eingefuegt wird.
Gemaess Meldungen wurden auf kompromittierten Systemen IRC-Bots installiert, mittels derer die Systeme ferngesteuert und zum Beispiel als
Warez-FTP-Server oder fuer die Durchfuehrung von DDoS Attacken werden koennen.
Betroffen sind Webserver, wenn in der Konfiguration php.ini die Option
"allow_url_fopen = on"
gesetzt ist und zusaetzlich ein PHP-Skript aufgerufen werden kann,
das dynamisch Code auf unsichere Weise nachlaedt, z.B. mittels
if (!isset($realm))
{
include "home.template";
}
else
{
include $realm ;
}
Die oben genannte Option bewirkt, dass Aufrufe der Funktion fopen()
ueber einen URL-Wrapper durchgefuehrt werden. D.h. anstelle eines
Pfades im lokalen Dateisystem kann eine URL auf einem entfernten
Webserver angegeben werden. Die include Anweisung bindet in diesem
Fall den Skript-Code ein, der nach einem HTTP-Request der URL von dem
entfernten Webserver zurueckgegeben wird.
Ein Angreifer kann diese Klasse von Schwachstellen mittels eines
speziell konstruierten HTTP Get-Requests ausnuzten, in dem eine URL
auf einen vom Angreifer kontrollierten Webserver beinhaltet ist.
Aus den o.g. Gründen wurde, sofern noch nicht geschehen, auf unseren Server die Option "allow_url_fopen" dekativiert!
Sollte es in diesem Zusammenhang zu Problemen mit Php-Scripten Ihrer Präsenz kommen, bitten Sie den Author des Scriptes bitte darum für Abhilfe zu sorgen!
Durch Schwachstellen kann ein Angreifer beliebigen Skript-Code in betroffene PHP-Skripte einfuegen. Der Angreifer benoetigt einen eigenen Webserver, um den Code bereitszustellen, der in die PHP-Skripte eingefuegt wird.
Gemaess Meldungen wurden auf kompromittierten Systemen IRC-Bots installiert, mittels derer die Systeme ferngesteuert und zum Beispiel als
Warez-FTP-Server oder fuer die Durchfuehrung von DDoS Attacken werden koennen.
Betroffen sind Webserver, wenn in der Konfiguration php.ini die Option
"allow_url_fopen = on"
gesetzt ist und zusaetzlich ein PHP-Skript aufgerufen werden kann,
das dynamisch Code auf unsichere Weise nachlaedt, z.B. mittels
if (!isset($realm))
{
include "home.template";
}
else
{
include $realm ;
}
Die oben genannte Option bewirkt, dass Aufrufe der Funktion fopen()
ueber einen URL-Wrapper durchgefuehrt werden. D.h. anstelle eines
Pfades im lokalen Dateisystem kann eine URL auf einem entfernten
Webserver angegeben werden. Die include Anweisung bindet in diesem
Fall den Skript-Code ein, der nach einem HTTP-Request der URL von dem
entfernten Webserver zurueckgegeben wird.
Ein Angreifer kann diese Klasse von Schwachstellen mittels eines
speziell konstruierten HTTP Get-Requests ausnuzten, in dem eine URL
auf einen vom Angreifer kontrollierten Webserver beinhaltet ist.
Aus den o.g. Gründen wurde, sofern noch nicht geschehen, auf unseren Server die Option "allow_url_fopen" dekativiert!
Sollte es in diesem Zusammenhang zu Problemen mit Php-Scripten Ihrer Präsenz kommen, bitten Sie den Author des Scriptes bitte darum für Abhilfe zu sorgen!
Mit freundlichen Grüßen / Best Regards
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de