Laut einem Bericht von Security Reason tritt die Sicherheitslücke in allen aktuellen Versionen des Webserver httpx bis einschließlich Version 1.4.4 auf. Durch eine einfache Manipulation des GET Requests können Angreifer den Quellkode beliebiger Scriptdateien einsehen: um beispielsweise den Quellkode der PHP-Datei
http://www.meineseite.de/test.php
einzusehen, muss der Angreifer lediglich einen abschließenden Punkt hinter „test.php“ einfügen. Damit gibt httpx die PHP-Datei im Klartext aus, was unter Umständen Tür und Tor für weitere Attacken ebnet. Ein Patch oder Update für httpx liegt bislang nicht vor. (vgw)