07.05.2012
Sicherheit
Gepatchte PHP-Sicherheitslücke immer noch offen
Autor: Thorsten Eggeling
Vergangene Woche wurde ein PHP-Update ausgeliefert, das eine seit Jahren unentdeckte Sicherheitslücke beseitigen sollte. Das Problem besteht aber weiterhin und die Lücke lässt sich über ein Metasploit-Modul leicht ausnutzen.
Die PHP-Entwickler haben vergangene Woche ein Sicherheits-Update veröffentlicht, das eine seit acht Jahren unentdeckte Sicherheitslücke schließen sollte. Allerdings stellt sich nun heraus, dass die Updates auf die PHP-Versionen 5.3.12 und 5.4.2 Fehler aufweisen und die Schwachstelle nicht beseitigen. Das Problem betrifft allerdings nur Server, die PHP im CGI-Modus verwenden. Installationen mit FastCGI oder dem Apache-PHP-Modul sind nicht gefährdet. Die Sicherheitslücke ist als besonders gefährlich anzusehen, weil Detail-Informationen vorzeitig an die Öffentlichkeit gelangt sind. Inzwischen gibt es auch ein Metasploit-Modul, das die Ausnutzbarkeit demonstriert.
Der Fehler tritt bei der Übergabe von Parametern an PHP-Scripte auf. Wenn hier ein „?-s“ angehängt ist, wird das PHP-Script nicht ausgeführt sondern der Inhalt als HTML ausgegeben. Dabei können vertraulich Informationen sichtbar werden. Weit gefährlicher ist allerdings, dass sich auch beliebiger Code einschleusen und ausführen lässt.
Bis die PHP-Entwickler die Lücke tatsächlich geschlossen haben, lässt sich der Server durch Workarounds oder spezielle Patches schützen. Anleitungen dazu gibt es auf der Webseite der Entdecker der Schwachstelle.
Quartalszahlen
Telekom verdankt Wachstum vor allem dem Mobilfunk
Im abgelaufenen ersten Quartal konnte die Deutsche Telekom den Umsatz weiter steigern, allerdings läuft das Festnetzgeschäft schleppender als erwartet.
>>
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
FTTH
Easybell vermarktet jetzt auch Glasfaseranschlüsse
Die Berliner Easybell vermarktet jetzt auch Glasfaseranschlüsse für Privat- und Geschäftskunden. Die FTTH-Anschlüsse kommen dabei von der Telekom.
>>
Auf der Anga Com
AVM zeigt mit der FritzBox 5690 Pro sein neues Top-Modell
Der Berliner Hersteller AVM nutzt die Breitbandmesse Anga Com, um einige neue FritzBox-Modelle vorzustellen. Darunter sein neues Flaggschiff 5690 für den Glasfaser- und DSL-Anschluss. Es soll im Sommer auf den Markt kommen.
>>