PHP-Sicherheitslücke schließen, 2. Versuch

Wir haben in der letzten Woche über die Sicherheitslücke in den CGI-Versionen von PHP informiert und auf zwei Fixes zum Download hingewiesen. Es zeigte sich aber recht schnell, dass die beiden Fixes die Lücke nur unzureichend schlossen.

Um diese Sicherheitslücke zu nutzen, gibt man einfach die Zeichenfolge ?-s an das Ende einer URL bekommt dann den PHP-Programmcode im Klartext ausgegeben. Natürlich mit eventuellen Zugangsdaten zu Datenbanken und anderen vertraulichen Informationen…

Da weder die Fixes noch die als Workaround angegebene Rewrite-Regel das Problem ausreichend gut beseitigen konnten, haben die PHP-Entwickler jetzt je einen neuen Patch für PHP 5.3 und PHP 5.4 bereitgestellt. Es handelt sich um die Programmversionen PHP 5.4.3 und PHP 5.3.13, die man ab sofort von php.net downloaden kann.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Programmierung, Sicherheit abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.