Schwere Sicherheitslücke in PHP

Die deutsche Firma e-matters hat eine Sicherheitslücke in Version 4.2.0 und 4.2.1 der Skript-Sprache PHP entdeckt. Dadurch können nicht nur ganze Webserver stillgelegt werden, es ist auch möglich, beliebigen Code auf der Zielmaschine auszuführen.

Mit PHP lassen sich besonders einfach dynamische Webseiten erstellen, wie in diesem Report nachzulesen ist. Da sich ganze Redaktionssysteme und Bilddatenbanken realisieren lassen, wird das freie PHP immer beliebter.

Der Upload von Dateien auf einen Webserver, wie er beispielsweise zum Bereitstellen neuer Bilder eingesetzt wird, ist jedoch mit PHP 4.2.0 problematisch. Wie e-matters hier berichtet, lässt sich durch eine speziell formulierte Anfrage an den Webserver das System zum Crash überreden.

Auf manchen Plattformen soll der Bug auch das Ausführen von möglicherweise bösartigem Code mit sämtlichen Rechten des Betriebssystems führen können. Laut e-matters sind Maschinen mit x86-Prozessoren davon aber nicht betroffen.

Die PHP-Entwickler haben den Fehler bestätigt und bieten auch bereits die reparierte Version 4.4.2 an. So man diese nicht unmittelbar aufspielen kann, empfiehlt es sich, die Funktion POST im Webserver zu deaktivieren. Bei Apache reichen dafür folgende Zeilen in der Konfigurationsdatei:

<Limit POST> Order deny,allow Deny from all </Limit>

In der Security-Mailing-Liste Bugtraq findet sich am Ende dieses Beitrags eine Liste mit Aussagen von Betriebssystem-Anbietern zur Verwundbarkeit ihrer Distributionen sowie möglichen Gegenmitteln. (nie)