Gefahr: PHP-Sicherheitslücke entdeckt



Gefahr: PHP-Sicherheitslücke entdeckt

Während eines Capture-The-Flag-Wettbewerbs entdeckte ein Team eine gravierende Sicherheitslücke, was das US-CERT veranlasste eine dringliche Warnung herauszugeben. Eigentlich sollte die PHP-Lücke erst an die Öffentlichkeit gelangen, wenn das nötige Sicherheitspatch bereit ist, durch einen Fehler würde die Meldung jedoch zu früh verbreitet. 

Mittels Aufruf einer entsprechenden URL, würde der Quellcode von PHP Seiten als HTML ausgegeben. Da sich darin oft kritische Daten, wie z.Bsp. Zugangsdaten zu Datenbanken befinden, handelt es sich um eine Gefahr von hächster Stufe.

Provisorische Massnahmen:

Durch die entdeckte Sicherheitslücke haben wir uns entschlossen, alle Aufrufe, welche ?-s enthalten, zu unterbinden. Betroffen sind alle Accounts in welchen PHP5 im CGI-Modus ausgeführt wird. 

Sofern Sie PHP5 als CGI-Modul nutzen empfehlen wir Ihnen dringend, die in den Scripten verwendeten Zugangsdaten zu ändern. 

Sobald ein entsprechender Patch zur Verfügung steht werden wir diesen in die PHP-Versionen einpflegen.



Eilanfrage / Urgent inquiry
 
Vorname/Name
first name/name
E-Mail Adresse
E-mail address
Telefonnummer
Telephone
Betreff
Subject:
Sicherheitscode
security code
Ihre Nachricht:
your Message
 
    ausdrucken    per Email versenden    bearbeiten 04.05.2012
Besucher: 6574