Kommentare zu: Sicherheitslücke in PHP [2. Update] / Eigene Schutzmaßnahme ergriffen

Von: Daniel Betz

Daniel Betz — Wed, 09 May 2012 07:40:02 +0000

Hallo Patrick,

wir haben bereits alle unsere PHP-Versionen gepatcht und kompilieren diese gerade neu.
Da wir für jede PHP Version 3 verschiedene Editionen haben, muss jedes PHP 3x kompiliert werden ( mit FastCGI 4x )

Das bedeutet, dass wir PHP 21 kompilieren müssen, was ein wenig Zeit in Anspruch nehmen kann.

Zudem muss der Patch auch noch getestet werden, ob es nicht doch zu unerwarteten Fehlern kommt.

Wir rechnen aber damit, dass wir gegen Mittag die ersten Webserver aktualisiert haben.

Von: Patrick

Patrick — Wed, 09 May 2012 06:57:41 +0000

Ein PHP Update ist erschienen. Das sollte nun die Lücke schließen.

Von: Kay Wille

Kay Wille — Fri, 04 May 2012 13:09:01 +0000

heise verlinkt in einem Artikel zu einem Tipp eines Sicherheitsexperten

http://www.php-security.net/archives/11-Mitigation-for-CVE-2012-1823-CVE-2012-2311.html

Von: Sara

Sara — Fri, 04 May 2012 08:32:57 +0000

Nach den mir vorliegenden Informationen betrifft das Problem jedes Verwendung von “AddType”.

Von: Florian König-Heidinger

Florian König-Heidinger — Fri, 04 May 2012 07:30:18 +0000

Hallo,

bei einigen Projekten verwende ich den AddType um die Dateiendung auf .html umzubiegen:

AddType application/x-httpd-php .html

Sind diese Projekte von der Sicherheitslücke betroffen?

Schöne Grüße,
Florian König-Heidinger