Achtung: Gravierende Sicherheitslücke in PHP-CGI

  • Vor ca. 3 Stunden (03.Mai 2012 18:00 Uhr) ist eine gravierende, bisher unbehobene Sicherheitslücke in PHP-CGI bekannt geworden, so berichtet Heise Security.


    Durch den speziellen Aufruf der PHP-Dateien per Browser ist es möglich Kommandozeilenparameter auszuführen. Neben der Tatsache das man sich damit den Quelltext der PHP-Dateien plain per HTML ausgeben lassen kann, sind auch Kompromitierungen der Systemebene möglich.


    Bisher gibt es keinen öffentlichen bzw. offiziellen Patch hierzu. Nähere Infos zum Fehler findet man in der offiziellen PHP SecBug Datenbank.


    Webhosting Kunden bei netcup sind hiervon nicht betroffen. Entsprechende Überprüfungen und Tests wurden unsererseits natürlich bereits vorgenommen.


    Allen vServer Kunden die PHP-CGI verwenden, empfehlen wir das System zu prüfen und den Bug zu testen.


    Update: Mittlerweile wurden seitens des PHP-Teams Updates bereit gestellt in den Versionen 5.3.12 und 5.4.2 die den Fehler beheben.


    Sollte man von dem Fehler betroffen sein, kann man es unter anderem auch mit einer mod_rewrite Regel umgehen solange die Updates nicht in den jeweiligen Repositories verfügbar sind.


    Apache Configuration
    RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
    RewriteRule ^(.*) $1? [L]
  • Wer FastCGI mit einem wrapper.sh-Script einsetzt scheint nicht betroffen zu sein.
    Bei meinen ganzen Installationen kann ich nichts reproduzieren.


    Die Kommentare bei Heise sind einfach göttlich, mal wieder... :D


    Kann ich bestätigen. Ich kann es auf keinem meiner Server nachstellen.
    Wer Froxler bzw. SysCP mit FastCGI nutzt dürfte davon auch nicht betroffen sein.

    Neun von zehn stimmen in meinem Kopf sagen ich bin nicht verrückt, die zehnte summt die Melodie von Tetris.

  • Ich konnte es gestern bei einem anderen großen Deutschen Hoster reproduzieren, bei dem man wahlweise verschiedene PHP Varianten verwenden kann. In einem Testverzeichnis mit PHP-CGI spuckte er alles aus. Allerdings wurde das Problem bereits nach wenigen Minuten (vermutlich durch Rewrite Regeln) vorläufig behoben und es wurde an alle Kunden ein Newsletter versendet mit genauen Informationen sowie der Bitte alle enthaltenen Passwörter in PHP-Scripts zu ändern, falls man PHP-CGI ausgewählt hat.


    Ansonsten setze ich überall auf mod_php und FastCGI, da besteht keine Gefahr :thumbup:


    Die Kommentare bei Heise sind einfach göttlich, mal wieder... :D


    :D^^:)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • von heise.de:

    Zitat

    2. Update: Die Entdecker weisen darauf hin, dass der Patch die Lücke keineswegs schließt; die eingefügten Sicherheitsvorkehrungen ließen sich einfach umgehen. Den besten Schutz bietet derzeit der Einsatz von Filterregeln

  • Hallo,
    wie genau kann ich jetzt meinen Server testen ob er betroffen ist oder nicht?
    Ich nutze zwar Apache2 via php-fcgi, aber wenn ich "http://meineurl.de/index.php?-s" eingebe kommt nicht der Quelltext.
    Heisst das das ich nicht betroffen bin?

  • Wenn du nun von meiner private Seite sprichst ist das auch leider falsch.
    Dort nutze ich auch php-cgi aber kein Apache2 sondern Hiawatha. Dieser filtert dieses aber raus.;)
    Ich möchte es aber bei einem anderen Server von mir wissen, der mit Apache2 und php-fcgi läuft.