Vor ca. 3 Stunden (03.Mai 2012 18:00 Uhr) ist eine gravierende, bisher unbehobene Sicherheitslücke in PHP-CGI bekannt geworden, so berichtet Heise Security.
Durch den speziellen Aufruf der PHP-Dateien per Browser ist es möglich Kommandozeilenparameter auszuführen. Neben der Tatsache das man sich damit den Quelltext der PHP-Dateien plain per HTML ausgeben lassen kann, sind auch Kompromitierungen der Systemebene möglich.
Bisher gibt es keinen öffentlichen bzw. offiziellen Patch hierzu. Nähere Infos zum Fehler findet man in der offiziellen PHP SecBug Datenbank.
Webhosting Kunden bei netcup sind hiervon nicht betroffen. Entsprechende Überprüfungen und Tests wurden unsererseits natürlich bereits vorgenommen.
Allen vServer Kunden die PHP-CGI verwenden, empfehlen wir das System zu prüfen und den Bug zu testen.
Update: Mittlerweile wurden seitens des PHP-Teams Updates bereit gestellt in den Versionen 5.3.12 und 5.4.2 die den Fehler beheben.
Sollte man von dem Fehler betroffen sein, kann man es unter anderem auch mit einer mod_rewrite Regel umgehen solange die Updates nicht in den jeweiligen Repositories verfügbar sind.
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]
