Wie unter anderem im “heise Newsticker” nachzulesen ist, besteht derzeit eine PHP-Sicherheitslücke, durch die unter bestimmten Umständen der Quellcode von PHP-Skripten abgerufen und zudem fremder Code “eingeschleust” werden kann.
Unsere Technikabteilung weist in diesem Zusammenhang darauf hin, dass der oben genannte Fehler in PHP “nur” solche Kunden von uns betrifft, die expliziert über eine .htacess-Datei einen sogenannten “AddType” gesetzt haben. Dies kann z.B. dann der Fall sein, wenn in einem bestimmten Unterordner eine andere als die im Kundenmenü für diese Domain konfigurierte PHP-Version zur Ausführung kommen soll.
Wer einen solchen “AddType” gesetzt hat, ist derzeit in jeder PHP-Version gefährdet. Wir raten in diesen Fällen dazu, solche Requests per .htacess-Einstellung auszufiltern, bis ein Sicherheitspatch durch das PHP-Team bereitgestellt und von uns eingespielt worden ist:
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]
Selbstverständlich sind wir aktiv an dem Thema dran und werden ein Update aller PHP-Versionen so schnell wie möglich vornehmen. Bei Rückfragen oder falls Sie Unterstützung benötigen, helfen unser Kundenservice und unsere Technik-Abteilung gerne weiter. Beide sind direkt über das Kundenmenü (Link Kundenservice) in Form einer dann authentifizierten Anfrage kontaktierbar.
[Update 09:10 Uhr: Wir gehen derzeit - unter Vorbehalt und vor weiteren erforderlichen Tests - davon aus, die Patches bis ca. 12/13 Uhr auf allen Server eingespielt zu haben. Dies kann sich jedoch durch möglicherweise auftretende Probleme (Kundenseiten laufen nicht mehr usw.) verzögern.]
[Update 11:35 Uhr: Nach derzeitigem Stand behebt der aktuell veröffentlichte offizielle Patch das Problem nicht vollständig. Aus diesem Grund werden wir selbst eine Sicherheitsmaßnahme zum Schutz der Kundenpräsenzen aktivieren, um das Angriffsrisiko ergänzend zu dem - wie gesagt nicht vollständig wirksamen - Patch weiter reduzieren zu können. Hierzu verteilen wir derzeit ein Update auf unseren Systemen, der in den nächsten Minuten nach und nach auf allen Webservern aktiviert werden wird. Sollten Sie danach auf Ihren Webseiten überraschende 403-Fehlermeldungen angezeigt bekommen, geben Sie bitte unserem Kundenservice Bescheid.]
