Sicherheitsupdate für PHP löst Probleme nur unvollständig

von am

In der beliebten Scriptsprache PHP klafft aktuell eine Sicherheitslücke, mit der sich Besucher im Internet den Quellcode der aufgerufenen Seiten anschauen können. Betroffen sind die CGI-Installationen wie sie im Shared Hosting besonders häufig vorkommen. FastCGI und mod_php sollen nicht betroffen sein. Inzwischen gibt es zwar einen Fix, der löst das Problem aber nur unvollständig. Trotzdem gibt es für betroffene Admins Möglichkeiten zum Schutz.

Schon seit vielen Jahren soll die entdeckte Lücke im Quellcode enthalten sein – jetzt wurde sie im Rahmen eines Wettbewerbes identifiziert und unbeabsichtigt vorschnell veröffentlicht. Mittels eines simplen Query-Parameters lässt sich für CGI PHP Installationen der Sourcecode der aufgerufenen Seiten anzeigen. Die PHP Entwickler haben nachgelegt und PHP 5.3.12 sowie 5.4.2 veröffentlicht, die einen Teil dieses Problems beheben. Aber leider nicht komplett.

Der aktuell einzige Schutz für Admins ist es, die betreffenden Queries mittels einers Rewrite-Rule auszufiltern. Das geht auf allen Systemen, auf denen mod_rewrite vorhanden ist mittels der folgenden Befehle:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

 

Verwandte Artikel:

Tags: