| 

.NET C# Java Javascript Exception

10
Über eine gefährliche Sicherheitslücke in PHP könnten CGI-Server mit Schadcode infiziert werden. Ein Update soll Abhilfe schaffen, aber wer auf Nummer sicher gehen will, legt besser selbst Hand an.

Erst vor wenigen Tagen wurden die Updates auf PHP 5.3.11 und PHP 5.4.1 veröffentlicht. Doch schon wartet die nächste Version. Grund dafür ist eine kritische Sicherheitslücke in PHP, die bei Wartungsarbeiten aus Versehen an die Öffentlichkeit gedrungen ist.

Betroffen von der Lücke sind PHP-Server, die im CGI-Modus betrieben werden: Über den Aufruf bestimmter URLs lassen sich Kommandozeilenparameter und sogar Code in das PHP-CGI-Programm einschleusen und ausführen.

Eigentlich sollte das Problem zunächst behoben und dann bekanntgegeben werden. Versehentlich wurde der Eintrag in der PHP-Fehlerdatenbank jedoch als öffentlich markiert und kurz darauf sogar auf der Webseite reddit.com gepostet.

Zwar haben die PHP-Entwickler inzwischen die Versionen PHP 5.3.12 und PHP 5.4.2 veröffentlicht, die eingefügten Sicherheitsvorkehrungen sollen sich aber relativ leicht wieder umgehen lassen. Am sichersten wäre es, so die Entdecker der Sicherheitslücke, entsprechende Filterregeln einzusetzen, beispielsweise mit Hilfe eines Wrapper-Skripts. Weiterführende Informationen finden sich hier.

UPDATE: Das PHP-Entwicklerteam bemüht sich erneut, die CGI-Sicherheitslücke zu beheben. Die jetzt veröffentlichten Updates auf die Versionen 5.3.13 und 5.4.3 sollen endlich Abhilfe schaffen; 5.4.3 behebt außerdem einen Buffer-Overflow in den apache request headers.
Herunterladen lassen sich die Updates auf der Download-Seite, die Windows-Binaries finden sich unter windows.php.net/download. Außerdem gibt es ein Changelog mit einer vollständigen Liste aller Änderungen.

php update sicherheitsluecke
Schreibe einen Kommentar:
Themen:
sicherheitsluecke update php
Entweder einloggen... ...oder ohne Wartezeit registrieren
Benutzername
Passwort
Passwort wiederholen
E-Mail