Ergebnis 1 bis 14 von 14

Thema: PHP als CGI Lücke - betroffen?

  1. #1
    Reseller Avatar von DaddyDj
    Registriert seit
    20.03.2003
    Beiträge
    215

    Frage PHP als CGI Lücke - betroffen?

    Hallo,

    sind oder waren wir hiervon betroffen?

    http://www.heise.de/newsticker/meldu...e-1567433.html

    Vielen Dank für eine kurze Info.

    Beste Grüße
    DJ

  2. #2
    Kundenservice-Team Avatar von Dietmar Leher
    Registriert seit
    27.07.2005
    Beiträge
    3.417

    AW: PHP als CGI Lücke - betroffen?

    Hallo DJ,

    bitte beachten Sie zu der Lücke die Informationen in unserem aktuellen Blogeintrag unter: http://www.df.eu/blog/2012/05/04/sic...slucke-in-php/

    Mit freundlichen Grüßen

    Dietmar Leher
    Kundenservice-Team
    domainFACTORY

  3. #3
    Reseller
    Registriert seit
    01.10.2004
    Beiträge
    8

    AW: PHP als CGI Lücke - betroffen?

    Hallo zusammen,

    im Heise-Ticker heißt es, FastCGI-Installationen seien nicht betroffen.
    In Ihrem Blog steht allerdings, jede Installation mit einem per .htaccess gesetzten "AddType" sei betroffen.

    Können Sie hier Klarheit schaffen?

    Vielenn Dank und beste Grüße,
    Jonas

  4. #4
    Kundenservice-Team Avatar von Dietmar Leher
    Registriert seit
    27.07.2005
    Beiträge
    3.417

    AW: PHP als CGI Lücke - betroffen?

    Hallo Jonas,

    FastCGI ist nicht betroffen.
    Jede PHP-Version meint lediglich alle derzeit angebotenen Versionsnummern. Nach aktuellem Stand werden wir bis ca. 13 Uhr auch die älteren Versionen mit einem Patch versehen können.

    Mit freundlichen Grüßen

    Dietmar Leher
    Kundenservice-Team
    domainFACTORY

  5. #5
    Reseller
    Registriert seit
    01.10.2004
    Beiträge
    8

    AW: PHP als CGI Lücke - betroffen?

    Hallo Herr Leher,

    Vielen Dank für die schnelle Rückmeldung.
    Dann hat sich unsere frühzeitige Umstellung auf FastCGI ja in diesem Fall schon bezahlt gemacht.

    Beste Grüße,
    Jonas

  6. #6
    Gast
    Registriert seit
    15.10.2006
    Beiträge
    1.111

    AW: PHP als CGI Lücke - betroffen?

    Hi,

    ich hab es gestern 5 Minuten nach der Heise Meldung für mein Forum getestet, ich konnte da zum Glück nichts "gravierendes" feststellen.

    Vbulletin setzt meines Wissens defaultmässig keine AddTypes - zumindest konnte ich auf die Schnelle sowas nicht in den .htaccess Dateien finden. Vielleicht interessant für diejenigen, die sowas einsetzen

    Stefan

  7. #7
    Geschäftsführung (bis 11/13)
    Registriert seit
    11.01.2001
    Beiträge
    715

    AW: PHP als CGI Lücke - betroffen?

    Hallo zusammen,

    in unserem Blog unter https://www.df.eu/blog/2012/05/04/si...slucke-in-php/ gibt es inzwischen zwei Updates. Sofern erforderlich werden dort auch weitere Aktualisierungen veröffentlicht werden.

  8. #8
    Kunde
    Registriert seit
    18.03.2009
    Beiträge
    22

    AW: PHP als CGI Lücke - betroffen?

    Könnte man bitte den Passus "AddType" etwas präzisieren? Was genau muss "geaddtyped" sein, damit die Sicherheitslücke zuschlägt?

    Ein AddType image/x-icon .ico dürfte ja wohl in diesem Zusammenhang nicht relevant sein.

    Aber wie sieht es beispielsweise mit AddType x-mapp-php5 .html aus? Läuft dann PHP ebenfalls im CGI-Modus?
    Geändert von nolicredere (04.05.2012 um 12:33 Uhr)

  9. #9
    Forenexperte & RP² Produkttester (Managed Reseller Server) Avatar von wareconsult
    Registriert seit
    31.08.2005
    Beiträge
    5.355

    AW: PHP als CGI Lücke - betroffen?

    Zitat Zitat von nolicredere Beitrag anzeigen
    Ein AddType image/x-icon .ico dürfte ja wohl in diesem Zusammenhang nicht relevant sein.

    Aber wie sieht es beispielsweise mit AddType x-mapp-php5 .html aus? Läuft dann PHP ebenfalls im CGI-Modus?
    das hängt von der Lücke ab und ist nicht zwangsläufig gesagt. Möglicherweise reicht ein generelles AddType aus. Ob PHP im CGI-Modus läuft hängt ganz davon ab, welche Einstellungen du im Kundenmenü vorgenommen hast.
    viele Grüße

    Stephan Munz

  10. #10
    Gast
    Registriert seit
    15.10.2006
    Beiträge
    1.111

    AW: PHP als CGI Lücke - betroffen?

    Hi,

    es gibt einen angeblich funktionierenden Patch - wow, das hat ganze 4 Monate gedauert!

    http://packages.gentoo.org/package/dev-lang/php

    http://www.christopher-kunz.de/archi...ty-issues.html

    [Welch Ironie diese Amazon Werbung "Kauft das PHP-Sicherheitsbuch!"]

    Bis zum nächsten Patchday würde ich mal sagen!

  11. #11
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    35.936

    AW: PHP als CGI Lücke - betroffen?

    Hallo zusammen,

    natürlich haben wir heute noch den neuen Patch entsprechend eingespielt. Dies zu Ihrer Information.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice

    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  12. #12
    Reseller Avatar von mcseboard.de
    Registriert seit
    11.01.2002
    Beiträge
    606

    AW: PHP als CGI Lücke - betroffen?

    Hallo Herr Dornblut,

    es gibt ein Update dazu: http://www.heise.de/newsticker/meldu...n-1570510.html

    Gibt es Pläne diese Version demnächst bereitzustellen? Dringend notwendig ist es nicht, wenn ich das Blog richtig gelesen habe.

    Danke
    Geändert von mcseboard.de (10.05.2012 um 14:39 Uhr)
    Thomas Praider
    ________________________
    < MCSEboard.de >-< Windows Server & IT Pro Community - MVPs inside >

  13. #13
    Kundenservice-Team Avatar von Dietmar Leher
    Registriert seit
    27.07.2005
    Beiträge
    3.417

    AW: PHP als CGI Lücke - betroffen?

    Halo mcseboard.de,

    wir haben alle bei uns erhältlichen PHP-Versionen und Editionen gestern gepatched. Der Security-Fix der Version 5.3.13 ist somit auch in unserer 5.3.10 und den Anderen schon enthalten (Backporting).
    Wir werden aber demnächst wieder ein reguläres Update vornehmen und dann die jeweils aktuelle Versionsnummer auch zur Verfügung stellen. Beantwortet das Ihre Frage oder ist noch etwas unklar zu diesem Thema der CGI-Lücke?

    Mit freundlichen Grüßen

    Dietmar Leher
    Kundenservice-Team
    domainFACTORY

  14. #14
    Reseller Avatar von mcseboard.de
    Registriert seit
    11.01.2002
    Beiträge
    606

    AW: PHP als CGI Lücke - betroffen?

    Hallo Herr Leher,

    das beantwortet meine Frage.

    Besten Dank
    Thomas Praider
    ________________________
    < MCSEboard.de >-< Windows Server & IT Pro Community - MVPs inside >

Ähnliche Themen

  1. PHP läuft als CGI und nicht als module
    Von 34804 im Forum Scriptsprachen / SQL / Anwendungen
    Antworten: 1
    Letzter Beitrag: 22.01.2003, 19:01
  2. PHP als CGI und --disable-force-cgi-redirect
    Von Maximilian im Forum ManagedHosting und ManagedHosting Pro
    Antworten: 0
    Letzter Beitrag: 15.11.2002, 22:23
  3. PHP in Apache als CGI
    Von ExarKun im Forum Scriptsprachen / SQL / Anwendungen
    Antworten: 5
    Letzter Beitrag: 25.10.2002, 13:36
  4. PHP als CGI
    Von xperthost.de im Forum ManagedHosting und ManagedHosting Pro
    Antworten: 1
    Letzter Beitrag: 06.12.2000, 15:42

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •