Sicherheitslücke in PHP [2. Update] / Eigene Schutzmaßnahme ergriffen

Wie unter anderem im „heise Newsticker“ nachzulesen ist, besteht derzeit eine PHP-Sicherheitslücke, durch die unter bestimmten Umständen der Quellcode von PHP-Skripten abgerufen und zudem fremder Code „eingeschleust“ werden kann.

Unsere Technikabteilung weist in diesem Zusammenhang darauf hin, dass der oben genannte Fehler in PHP „nur“ solche Kunden von uns betrifft, die expliziert über eine .htacess-Datei einen sogenannten „AddType“ gesetzt haben. Dies kann z.B. dann der Fall sein, wenn in einem bestimmten Unterordner eine andere als die im Kundenmenü für diese Domain konfigurierte PHP-Version zur Ausführung kommen soll.

Wer einen solchen „AddType“ gesetzt hat, ist derzeit in jeder PHP-Version gefährdet. Wir raten in diesen Fällen dazu, solche Requests per .htacess-Einstellung auszufiltern, bis ein Sicherheitspatch durch das PHP-Team bereitgestellt und von uns eingespielt worden ist:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

Selbstverständlich sind wir aktiv an dem Thema dran und werden ein Update aller PHP-Versionen so schnell wie möglich vornehmen. Bei Rückfragen oder falls Sie Unterstützung benötigen, helfen unser Kundenservice und unsere Technik-Abteilung gerne weiter. Beide sind direkt über das Kundenmenü (Link Kundenservice) in Form einer dann authentifizierten Anfrage kontaktierbar.

[Update 09:10 Uhr: Wir gehen derzeit – unter Vorbehalt und vor weiteren erforderlichen Tests – davon aus, die Patches bis ca. 12/13 Uhr auf allen Server eingespielt zu haben. Dies kann sich jedoch durch möglicherweise auftretende Probleme (Kundenseiten laufen nicht mehr usw.) verzögern.]

[Update 11:35 Uhr: Nach derzeitigem Stand behebt der aktuell veröffentlichte offizielle Patch das Problem nicht vollständig. Aus diesem Grund werden wir selbst eine Sicherheitsmaßnahme zum Schutz der Kundenpräsenzen aktivieren, um das Angriffsrisiko ergänzend zu dem – wie gesagt nicht vollständig wirksamen – Patch weiter reduzieren zu können. Hierzu verteilen wir derzeit ein Update auf unseren Systemen, der in den nächsten Minuten nach und nach auf allen Webservern aktiviert werden wird.  Sollten Sie danach auf Ihren Webseiten überraschende 403-Fehlermeldungen angezeigt bekommen, geben Sie bitte unserem Kundenservice Bescheid.]

End of article

Sara Marburg

Über den Autor

Sara Marburg

Geschäftsführung (bis 11/13)

5 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Florian König-Heidinger
    Florian König-Heidinger - 4. Mai 2012 um 09:30 Uhr

    Hallo,

    bei einigen Projekten verwende ich den AddType um die Dateiendung auf .html umzubiegen:

    AddType application/x-httpd-php .html

    Sind diese Projekte von der Sicherheitslücke betroffen?

    Schöne Grüße,
    Florian König-Heidinger

  • Sara
    Sara - 4. Mai 2012 um 10:32 Uhr

    Nach den mir vorliegenden Informationen betrifft das Problem jedes Verwendung von „AddType“.

  • Kay Wille
    Kay Wille - 4. Mai 2012 um 15:09 Uhr

    heise verlinkt in einem Artikel zu einem Tipp eines Sicherheitsexperten

    http://www.php-security.net/archives/11-Mitigation-for-CVE-2012-1823-CVE-2012-2311.html

  • Patrick
    Patrick - 9. Mai 2012 um 08:57 Uhr

    Ein PHP Update ist erschienen. Das sollte nun die Lücke schließen.

  • Daniel Betz
    Daniel Betz - 9. Mai 2012 um 09:40 Uhr

    Hallo Patrick,

    wir haben bereits alle unsere PHP-Versionen gepatcht und kompilieren diese gerade neu.
    Da wir für jede PHP Version 3 verschiedene Editionen haben, muss jedes PHP 3x kompiliert werden ( mit FastCGI 4x )

    Das bedeutet, dass wir PHP 21 kompilieren müssen, was ein wenig Zeit in Anspruch nehmen kann.

    Zudem muss der Patch auch noch getestet werden, ob es nicht doch zu unerwarteten Fehlern kommt.

    Wir rechnen aber damit, dass wir gegen Mittag die ersten Webserver aktualisiert haben.