PHP-Updates stopfen CGI-Lücke
botfreiInitiative-SNews

PHP-Updates stopfen CGI-Lücke

By 18.05.2012August 27th, 2020No Comments

Im zweiten Anlauf haben die PHP-Entwickler Sicherheitsupdates bereit gestellt, die alle Möglichkeiten beseitigen, um eine Schwachstelle Im PHP-Code auszunutzen und so fremden Code einzuschleusen. Mit den Updates auf die PHP-Versionen 5.4.3 und 5.3.13 wird eine seit mindestens acht Jahren unbemerkte Schwachstelle bei der Behandlung einer bestimmten Methode zur Parameterübergabe per URL behandelt. Hierbei reicht es aus die Zeichenkette “?-s” einer anfälligen Webseite anzuhängen, um den PHP-Quelltext sichtbar zu machen statt der HTML-Seite. So ist es mit unter möglich, fremden Code einzuschleusen und auszuführen. Wenn Sie Betreiber einer PHP-basierten Webseite sind, so können Sie die oben genannten Zeichenkette benutzen, um anfällige Installationen zu identifizieren.
Weitere Informationen bezüglich der Updates können Sie hier nachlesen.
Die geschlosse Sicherheitslücke betrifft Installationen, die PHP als CGI-Modul (mod-cgi) ausführen, wohingegen die Varianten mod_php (Apache) und php_form (nginx) nicht anfällig sind. Ein weiterer Sicherheitspatch betrifft die Funktion apache_request_header(), welche anfällig für einen Pufferüberlauf ist, sofern PHP im CGI-Modus läuft. Wir empfehlen Ihnen PHP auf die neueste Version zu aktualiseren. Überprüfen Sie vorher, ob Ihre PHP-Version veraltet ist. Geben Sie dazu in der Konsole folgendes ein:
[code]apt-show-versions php5[/code] Howto: Debian (squeeze) aktualisieren
Bitte erstellen Sie vorher ein Backup. Es besteht nämlich die Möglichkeit, dass aufgrund des Softwarewechsels gewisse Web-Anwendungen wie CMS-Systeme nicht mehr laufen.
Zuerst erstellen Sie als root in /etc/apt/sources.list.d/ eine neue Datei (dotdeb.list) und füllen diese mit dem Inhalt:
[code]deb https://packages.dotdeb.org stable all
deb-src https://packages.dotdeb.org stable all[/code] Anschließend holen Sie den Dotdeb GnuPG Key:
[code]wget https://www.dotdeb.org/dotdeb.gpg
cat dotdeb.gpg | apt-key add -[/code] Dann führen Sie die eigentliche Aktualisierung durch:
[code]apt-get dist-upgrade[/code] Mit folgendem Befehl können Sie die Versionsnummer für PHP auf Ihrem System überprüfen:
[code]apt-show-versions php5[/code] Um sicher zu gehen, dass der Server bei einem Neustart hochfährt, empfehlen wir Ihnen nach dem Upgrade einen Neustart durchzuführen.

Für Tipps und Hilfestellungen besuchen Sie unser Forum.