Kurzmeldung: Kritische Sicherheitslücke in PHP im CGI-Modus

Das US-CERT warnt vor einer kritischen Sicherheitslücke in PHP, wenn dieses im CGI-Modus betrieben wird. Wir konnten das vom US-CERT beschriebene Phänomen bei uns nicht nachvollziehen, aber falls es in bestimmten Konfigurationen zutrifft, ist dort das Gefährdungspotenzial extrem hoch.

CVSS Metrics:
Base 9,0 AV:N/AC:L/Au:N/C:C/I:P/A:P
Temporal 8,5 E:F/RL:U/RC:C

Ein erster Schnelltest, der Hinweise darüber gibt ob man von der Schwachstelle betroffen ist, besteht darin, PHP-Seiten mit dem Parameter ?-s (Beispiel: /meinephpseite.php?-s) aufzurufen. Auf gefährdeten Plattformen wird dann möglicherweise der PHP-Quellcode (der beispielsweise auch Passwörter enthalten kann) ausgegeben.

Die mit großem Abstand überwiegende Mehrheit der derzeit verwendeten PHP-Implementierungen basiert jedoch auf FastCGI statt CGI oder läuft als Servermodul. Solche PHP-Installationen sind von der hier beschriebenen Sicherheitslücke nicht betroffen.


Weiterführende Links


Update 22:30 Uhr:
Inzwischen hat PHP die beiden Updates PHP 5.3.12 und PHP 5.4.2 veröffentlicht, die den Fehler beheben sollen. Als Alternative wird auch ein mit wenig Aufwand implementierbarer Workaround auf Basis von mod_rewrite skizziert. Details: php.net: PHP 5.3.12 and PHP 5.4.2 Released!


Update 4.5.2012, 12 Uhr:
Die PHP-Bugfixes erwiesen inzwischen als nicht zuverlässig. Darüber hinaus wurde auch bekannt, dass selbst in Konfigurationen, in denen PHP standardmäßig als Servermodul läuft, ebenfalls PHP im CGI-Modus zur Ausführung kommen kann, beispielsweise wenn per AddType in der .htaccess für einen Unterordner eine andere PHP-Konfiguration verwendet wird. Dies trifft auch für einige der großen Hoster zu.


Update 6.5.2012:
PHP kündigte korrigierte Bugfix-Releases für Dienstag, den 8.5.2012, an.


Update 8.5.2012:
PHP veröffentlicht die Releases PHP 5.4.3 und PHP 5.3.13, die die o.g. Verwundbarkeit beseitigen sollen. Details: php.net PHP 5.4.3 and PHP 5.3.13 Released!

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!
Marc Stenzel

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter CMS News, CMS Sicherheitswarnungen abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.