Achtung PHP-Programmierer: Sicherheitslücke

Vom US-CERT kommt die Warnung vor einer kritischen Sicherheitslücke in der beliebten Web-Programmiersprache PHP, die versehentlich veröffentlicht wurde, bevor der Fix dagegen fertig war.

Das Problem taucht bei Servern auf, bei denen PHP im CGI-Modus betrieben wird, FastCGI-Installationen sind davon nicht betroffen.

Im Kern zeigt sich das Problem beim Aufruf von speziellen URLs, bei dem man dem Programm Parameter auf der Kommandozeile mitgeben kann. Der Aufruf von http:/meinserver.de/index.php?-s führt dazu, dass PHP mit dem Parameter -s aufgeerufen wird und deshalb den Quellcode des PHP-Programms index.php als Text in einer HTML-Seite ausgibt, statt ihn zu übersetzen und auszuführen.

Da man im PHP-Quellcode sensitive Daten wie zum Beispiel Zugangsddaten zu Datenbanken findet, ist das schon sehr problematisch. Darüber hinaus kann man über diese Sicherheitslücke auch direkt Code zur Ausführung einschleusen – schlimmer geht’s nimmer. Weitere Informationen dazu gibt es beim CTF-Team.

Die gesäuberten PHP-Versionen 5.3.12 und 5.4.2 kann man jetzt beim PHP-Team downloaden. Als Verantwortlicher für Internetseiten sollten Sie CGI-Installationen von PHP jetzt dringend updaten.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Programmierung, Sicherheit abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu Achtung PHP-Programmierer: Sicherheitslücke

  1. Pingback: PHP-Sicherheitslücke schließen, 2. Versuch | Klaus Ahrens: News, Tipps und Tricks

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.