08.05.2012 Gepatchte PHP-Sicherheitslücke immer noch offen
Vergangene Woche wurde ein PHP-Update ausgeliefert, das eine seit Jahren unentdeckte Sicherheitslücke beseitigen sollte. Das Problem besteht aber weiterhin und die Lücke lässt sich über ein Metasploit-Modul leicht ausnutzen. Die PHP-Entwickler haben vergangene Woche ein Sicherheits-Update veröffentlicht, das eine seit acht Jahren unentdeckte Sicherheitslücke schliessen sollte. Allerdings stellt sich nun heraus, dass die Updates auf die PHP-Versionen 5.3.12 und 5.4.2 Fehler aufweisen und die Schwachstelle nicht beseitigen. Das Problem betrifft allerdings nur Server, die PHP im CGI-Modus verwenden. Installationen mit FastCGI oder dem Apache-PHP-Modul sind nicht gefährdet. Die Sicherheitslücke ist als besonders gefährlich anzusehen, weil Detail-Informationen vorzeitig an die Öffentlichkeit gelangt sind. Inzwischen gibt es auch ein Metasploit-Modul, das die Ausnutzbarkeit demonstriert.
Der Fehler tritt bei der Übergabe von Parametern an PHP-Scripte auf. Wenn hier ein „?-s“ angehängt ist, wird das PHP-Script nicht ausgeführt sondern der Inhalt als HTML ausgegeben. Dabei können vertraulich Informationen sichtbar werden. Weit gefährlicher ist allerdings, dass sich auch beliebiger Code einschleusen und ausführen lässt. Bis die PHP-Entwickler die Lücke tatsächlich geschlossen haben, lässt sich der Server durch Workarounds oder spezielle Patches schützen. Anleitungen dazu gibt es auf der Webseite der Entdecker der Schwachstelle. (ph/com!)
