Sicherheitslücke in allen PHP-Versionen

Ende letzter Woche wurde (versehentlich) eine Lücke in PHP bekannt, die seitdem für Unruhe im Netz sorgt. Der unter CVE-2012-1823 beschriebene CGI-Flaw macht die Server angreifbar für die Einschleusung von Code Dritter.

Angreifbar ist ein Server, sobald PHP als CGI eingesetzt wird und ein CGI-Wrapper für PHP läuft, beispielsweise:
AddHandler php5-cgi .php
Action php-cgi /cgi-bin/php-wrapper.fcgi
Action php5-cgi /cgi-bin/php-wrapper.fcgi

Es gibt aber einige Optionen zur Absicherung.

Option 1:

Per Rewrite-Regeln in der .htaccess einige Requests ausfiltern:

Rewrite Engine ON
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]

Allerdings kann es zu Problemen bei gewünschten Weiterleitungen führen und man sollte seine Parameter entsprechend prüfen. Beispielsweise würde auch „?top-50“ ausgefiltert werden, was zum Aufruf von Statistiken oder in einem Shop für Artikelansichten genutzt werden könnte etc.

Option 2:

PHP selbst patchen, sofern man auf seinem Server das Recht dazu hat und es sich zutraut. Den anzupassenden Quellcode findet Ihr hier: http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/

Option 3:

Auf das morgige Update von php.net warten und ein PHP-Update auf die Version 5.3.13 oder PHP 5.4.3 durchführen.

Option 4:

Auf FastCGI oder mod_php umstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.