Schwere Sicherheitslücke in PHP

28. Februar 2002, 15:11
24 Postings

Open Source Script-Sprache weist eine Hand voll Löcher auf - Apache- Server gefährdet

Eine Reihe von Sicherheitsexperten warnen vor einer schweren Sicherheitslücke in der Open Source Scrpit-Sprache PHP. Dieses Sicherheitsloch ermöglicht es Angreifern Web-Server zum Absturz zu bringen beziehungsweise Zugriff auf diese zu erhalten. Laut ersten Schätzungen sind etwa neun Millionen Server weltweit akut bedroht. Die Sicherheitslücke tritt allerdings nur bei Servern mit Apache, Linux oder Solaris auf.

"Nicht leicht ausführbar"

Die Sicherheitslücke dürfte schon seit einigen Wochen bei Insidern bekannt sein, warnen die Sicherheitsexperten. Zwar sei ein Angriff laut deren Angaben "nicht leicht ausführbar" aber wenn erfolgreich sehr gefährlich. Neben dem Computer Emergency Response Team (CERT) hat auch eMatters eine entsprechende Warnung veröffentlicht. In den verschiedenen Versionen von PHP lassen sich eine Hand voll Sicherheitslöcher finden, so die Experten.

Keine genaue Fehlerbeschreibung

Auf der offiziellen PHP Homepage wird Systemadministratoren geraten möglichst schnell auf die Version 4.1.2 abzudaten, da diese sicher sein soll. Auf ein "exploit", eine genaue Erläuterung des Fehlers, wurde bei e-matters allerdings verzichtet. Scheinbar wandelt die Open Source-Community nun auf Microsofts Pfaden. Der Softwarekonzern hatte in letzter Zeit immer wieder darauf hingewiesen, dass mit der detaillierten Veröffentlichung von Sicherheitslücken mehr Schaden als Nutzen angerichtet werden könnte, und dass darauf verzichtet werden sollte.

Apache, Linux und Solaris gefährdet

Der Name "PHP" stand in früher Zeit einmal für "Personal Homepage", doch dann entwicklete sich daraus eine komplexe Open Source Script-Sprache, die auf verschiedensten Webservern, darunter Apache, Microsoft Information Server und iPlanet, im Einsatz ist. PHP ist ein wesentlicher Bestandteil der LAMP-Bewegung, die Server gänzlich mit Open Source-Software betreibt. Neben PHP gehören Linux als Betriebssystem, Apache-Server, MySQL-Datenbank und Python zu LAMP. Das Sicherheitsproblem tritt allerdings ausschließlich in Zusammenhang mit Open Source-Produkten auf. Wer also die PHP-Versionen 3.10 bis 4.1.1 mit Apache, Linux oder Solaris auf seinem Server einsetzt, sollte schnell updaten.(red)

Share if you care.