Gepatchte PHP-Sicherheitslücke immer noch offen

Die PHP-Entwickler haben vergangene Woche ein Sicherheits-Update veröffentlicht, das eine seit acht Jahren unentdeckte Sicherheitslücke schließen sollte. Allerdings stellt sich nun heraus, dass die Updates auf die PHP-Versionen 5.3.12 und 5.4.2 Fehler aufweisen und die Schwachstelle nicht beseitigen. Das Problem betrifft allerdings nur Server, die PHP im CGI-Modus verwenden. Installationen mit FastCGI oder dem Apache-PHP-Modul sind nicht gefährdet. Die Sicherheitslücke ist als besonders gefährlich anzusehen, weil Detail-Informationen vorzeitig an die Öffentlichkeit gelangt sind. Inzwischen gibt es auch ein Metasploit-Modul, das die Ausnutzbarkeit demonstriert.

Der Fehler tritt bei der Übergabe von Parametern an PHP-Scripte auf. Wenn hier ein „?-s“ angehängt ist, wird das PHP-Script nicht ausgeführt sondern der Inhalt als HTML ausgegeben. Dabei können vertraulich Informationen sichtbar werden. Weit gefährlicher ist allerdings, dass sich auch beliebiger Code einschleusen und ausführen lässt.

Bis die PHP-Entwickler die Lücke tatsächlich geschlossen haben, lässt sich der Server durch Workarounds oder spezielle Patches schützen. Anleitungen dazu gibt es auf der Webseite der Entdecker der Schwachstelle.