Ende letzter Woche wurde (versehentlich) eine Lücke in PHP bekannt, die seitdem für Unruhe im Netz sorgt. Der unter CVE-2012-1823 beschriebene CGI-Flaw macht die Server angreifbar für die Einschleusung von Code Dritter.
Angreifbar ist ein Server, sobald PHP als CGI eingesetzt wird und ein CGI-Wrapper für PHP läuft, beispielsweise:
AddHandler php5-cgi .php
Action php-cgi /cgi-bin/php-wrapper.fcgi
Action php5-cgi /cgi-bin/php-wrapper.fcgi
Es gibt aber einige Optionen zur Absicherung.
Option 1:
Per Rewrite-Regeln in der .htaccess einige Requests ausfiltern:
Rewrite Engine ON
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]
Allerdings kann es zu Problemen bei gewünschten Weiterleitungen führen und man sollte seine Parameter entsprechend prüfen. Beispielsweise würde auch “?top-50” ausgefiltert werden, was zum Aufruf von Statistiken oder in einem Shop für Artikelansichten genutzt werden könnte etc.
Option 2:
PHP selbst patchen, sofern man auf seinem Server das Recht dazu hat und es sich zutraut. Den anzupassenden Quellcode findet Ihr hier: http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
Option 3:
Auf das morgige Update von php.net warten und ein PHP-Update auf die Version 5.3.13 oder PHP 5.4.3 durchführen.
Option 4:
Auf FastCGI oder mod_php umstellen.
