24.05.2012, 00:00 Uhr
Sicherheitslücke in PHP 5.4.3 entdeckt
Der Hacker Maksymilian Motyl eine neue Sicherheitslücke in der aktuellen PHP-Version entdeckt und einen Exploit veröffentlicht. Darin demonstriert er eine kritische Lücke in der Funktion com_print_typeinfo() der aktuellen PHP-Version 5.4.3. Nach Angaben von Motyl ist sie allerdings nur auf 32-Bit-Windows-Systemen ausnutzbar. Bisher ist noch kein Update verfügbar.
Anscheinend öffnet das Exploit auf dem Server eine Remote Shell. Darüber kann ein Angreifer beliebige Befehle auf dem Server ausführen. Zwar sind noch keine näheren Informationen über die Lücke veröffentlicht, aber das Internet Storm Center bezeichnet das Exploit als ernsthafte Bedrohung. Bis ein Sicherheitsupdate zur Verfügung steht, wird den Admins dringend geraten, die Datei-Upload-Funktion in allen PHP-Skripten zu deaktivieren. Ausserdem empfehlen die Experten, Shellcode mittels Intrusion-Prevention-Systems (IPS) zu filtern. Weiter sollten die Buffer Overflows über IPS auf dem Host (HIPS) blockiert werden. Inwieweit auch ältere PHP-Versionen anfällig sind, ist noch nicht bekannt. Anders als zuerst gemeldet lässt sich die Sicherheitslücke aber wohl nicht über Remote-Code ausnutzen. Bei ISC-Diary gibt es einen entsprechenden Hinweis. Ein Angreifer müsste also zuerst in der Lage sein, PHP-Code auf den Server zu laden. (ph/com!)
Siehe auch: Ist das ein Hackerangriff auf E-Mail-Konten?, Facebook-Wurm LilyJade manipuliert Werbe-Banner, Sicherheitsmängel: Fraunhofer kritisiert Cloud-Speicher wie Dropbox und weitere
Anscheinend öffnet das Exploit auf dem Server eine Remote Shell. Darüber kann ein Angreifer beliebige Befehle auf dem Server ausführen. Zwar sind noch keine näheren Informationen über die Lücke veröffentlicht, aber das Internet Storm Center bezeichnet das Exploit als ernsthafte Bedrohung. Bis ein Sicherheitsupdate zur Verfügung steht, wird den Admins dringend geraten, die Datei-Upload-Funktion in allen PHP-Skripten zu deaktivieren. Ausserdem empfehlen die Experten, Shellcode mittels Intrusion-Prevention-Systems (IPS) zu filtern. Weiter sollten die Buffer Overflows über IPS auf dem Host (HIPS) blockiert werden. Inwieweit auch ältere PHP-Versionen anfällig sind, ist noch nicht bekannt. Anders als zuerst gemeldet lässt sich die Sicherheitslücke aber wohl nicht über Remote-Code ausnutzen. Bei ISC-Diary gibt es einen entsprechenden Hinweis. Ein Angreifer müsste also zuerst in der Lage sein, PHP-Code auf den Server zu laden. (ph/com!)
Siehe auch: Ist das ein Hackerangriff auf E-Mail-Konten?, Facebook-Wurm LilyJade manipuliert Werbe-Banner, Sicherheitsmängel: Fraunhofer kritisiert Cloud-Speicher wie Dropbox und weitere
