Web

 

PHP Group schließt Sicherheitslücke

18.02.2003

MÜNCHEN (COMPUTERWOCHE) - Die Entwickler der Scriptsprache PHP warnen vor einer Sicherheitslücke in der Version 4.3.0. Sie steckt in der CGI-Anbindung (Common Gateway Interface). In PHP ist Code enthalten, der den direkten Zugriff auf CGI-Binaries verhindern soll. Das lässt sich normalerweise über die Option "--enable-force-cgi-redirect" und den "php.ini"-Eintrag "cgi.force_redirect" festlegen. Durch einen Fehler bleiben entsprechend getroffene Einstellung jedoch wirkungslos, informiert die PHP Group. Das Leck verschafft Angreifern Zugriff auf mit Benutzerrechten versehene Dateien, die auf Web-Servern liegen, auf denen das betroffene CGI-Modul eingesetzt wird. Einzige Voraussetzung ist der Zugang zu einer auf dem Server vorgehaltenen Website. Außerdem ist es möglich, auf dem Server beliebigen PHP-Code auszuführen und dadurch zum Beispiel Zugangskennungen abzugreifen. Die neu veröffentlichte

Version 4.3.1 soll den Fehler beheben. Sie liegt außer im Quelltext auch in einer kompilierten Ausführung für Windows vor. Außerdem gibt es einen Patch, mit dem sich die Version 4.3.0 bereinigen lässt. (lex)