09.05.2012 07:33
Alert! PHP-Team versucht erneut kritische CGI-Lücke zu schließen
Das PHP-Entwicklerteam hat einen erneuten Versuch unternommen, die kritische Schwachstelle beim Zusammenspiel mit CGI in den Griff zu bekommen. PHP interpretiert im CGI-Mode bestimmte URL-Parameter als Kommandozeilenparamter. Dadurch liefert ein betroffener Server den Quellcode einer Seite aus, wenn man die Zeichenkette ?-s an das Ende einer URL hängt (http://www.heise.de/?-s). Auch das Ausführen von Code ist auf diese Weise möglich.
Die Details zur Lücke wurden bekannt, weil die Entwickler den entsprechenden Eintrag im Bugtracking-System versehentlich als "öffentlich" markierten. Sie wird inzwischen aktiv für Angriffe ausgenutzt. Eigentlich sollte das Problem durch die Versionen 5.3.12 und 5.4.2 behoben werden, die Ende vergangener Woche erschienen sind. Es stellte sich jedoch schnell heraus, dass die Updates die Schwachstelle nur unzureichend abdichten. Offenbar gibt es weitere Möglichkeiten, die Lücke auszunutzen. Auch die anfangs als Workaround bereitgestellte Rewrite-Regel lässt sich nach Meinung von Sicherheitsexperten leicht umgehen.
Mit den jetzt veröffentlichten Versionen 5.3.13 und 5.4.3 versprechen die Entwickler erneut, die Lücke geschlossen zu haben – und ersten Tests des PHP-Experten Christopher Kunz zufolge wird das Versprechen dieses Mal auch gehalten. Darüber hinaus wurde im 5.4er-Zweig ein Buffer-Overflow behoben, der sich in der Funktion apache_request_headers befindet. Auch zu dieser Lücke findet man bereits seit Ende vergangener Woche konkrete Details im Netz. Laut dem Sicherheitsexperten Georg Wicherski handelt es sich hierbei um einen Speicherüberlauf auf dem Stack, der sich nur auf Systemen ausnutzen lässt, auf denen PHP im CGI-Mode läuft. Die Schwachstelle lässt sich unter anderen in Kombination mit dem Webserver lighttpd ausnutzen.
Einen einfachen PoC-Exploit hat er ebenfalls veröffentlicht – wohlbemerkt bereits Ende vergangener Woche. Wicherski ist über den Eintrag in der Bugtracking-Datenbank auf das Problem aufmerksam geworden. Zwar war die Lücke noch "vertraulich" markiert und die Details dadurch nicht öffentlich einsehbar, nach seinen Angaben hat ihm aber der angezeigte Name der Schwachstelle ausgereicht, um sie innerhalb von fünf Minuten im PHP-Quelltext aufzuspüren.
Siehe dazu auch:
- PHP im heise Software-Verzeichnis
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
