Gefahr durch offene PHP-Lücke

4. Mai 2012, 11:20
7 Postings

Kritische Sicherheitslücke versehentlich an Öffentlichkeit geraten

Laut US-CERT ist eine kritische Sicherheitslücke in PHP unbeabsichtigt an die Öffentlichkeit geraten. Betroffen sind alle Server, auf denen PHP im CGI-Modus läuft. 

Bei Wettbewerb entdeckt

Während eines Captuer-The-Flag-Wettbewerbs wurde das Problem erstmals entdeckt. Ein Team entdeckte, dass man über einen Aufruf spezieller URLS dem CGI-Programm Kommandozeilenparameter übergeben kann. Die Veröffentlichung passierte dadurch, dass das Capture-The-Flag-Team die Lücke an das US-CERT meldete und dieser die Behebung sofort einleitete. Versehentlich wurde der Eintrag dann in der PHP-Fehlerdatenbank auf reddit öffentlich gepostet.

Höchste Gefahrenstufe
Nicht nur das Auslesen von PHP-Quellcode wird somit möglich, sondern auch die Einschleusung und Ausführung von Code wird damit möglich. Deshalb ist diese Lücke auf der höchsten Gefahrenstufe hochzuheben. Das PHP-Team hat bereits die Versionen PHP 5.3.12 und PHP 5.4.2 veröffentlicht, die dieses Problem beseitigen. (iw, derStandard.at, 4.5.2012)

Share if you care.