Sicherheitslücke / Critical open hole in PHP-CGI

Alles, was PHP betrifft, kann hier besprochen werden.

Sicherheitslücke / Critical open hole in PHP-CGI

Postby WilliL » 05. May 2012 11:23

habe eben einen Hinweis meines Hosters erhalten, der php-cgi betrifft:
http://www.heise.de/newsticker/meldung/Gefahr-durch-offene-PHP-Luecke-1567433.html
in english http://www.h-online.com/open/news/item/Critical-open-hole-in-PHP-creates-risks-Update-2-1567532.html
die gerade in PHP entdeckte Sicherheitslücke zwang uns alle Aufrufe,
welche ?-s enthalten, zu unterbinden. Betroffen sind alle Accounts in
welchen PHP5 im CGI-Modus ausgeführt wird. Mit einem solchen Aufruf
wurden die PHP-Dateien im Quellcode angezeigt, es war somit durchaus
möglich z.B. Zugangsdaten zu Datenbanken auszulesen.

Sofern Sie PHP5 als CGI-Modul nutzen empfehlen wir Ihnen dringend, die
in den Scripten verwendeten Zugangsdaten zu ändern.
Ob Ihre Domain Aufrufe dieser Art hatte, können Sie nach Erstellung der
Statistiken (gegen 1Uhr) ihren Accesslogs entnehmen.

Sobald ein entsprechender Patch zur Verfügung steht werden wir diesen
in die PHP-Versionen einpflegen.
Willi
WilliL
 
Posts: 622
Joined: 08. January 2010 10:54
XAMPP Version: 5.5.19
Operating System: Win7Home Prem 64 SP1

Re: Sicherheitslücke / Critical open hole in PHP-CGI

Postby Altrea » 05. May 2012 11:32

Habe ich auch bekommen.
all-inkl reagiert da zum Glück immer relativ schnell.

Erwähnenswert ist noch, dass hier auf php.net ein Weg per mod_rewrite (zum Beispiel durch eine .htaccess Datei oder per Apache konfiguration) beschrieben wird, wie man diese Requests unterbinden kann
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 6597
Joined: 17. August 2009 13:05
XAMPP Version: 5.5.19
Operating System: W7Ux64


Return to PHP

Who is online

Users browsing this forum: No registered users and 5 guests