Server für LAN und Internet 367 Themen, 10.706 Beiträge

Verfolgung starten Optionen

Gefahr durch offene PHP-Lücke

wapjoe / 4 Antworten / Baumansicht Nickles

Folgendes erhielt ich grade von meinem Webhoster:

"die gerade in PHP entdeckte Sicherheitslücke zwang uns alle Aufrufe, welche ?-s enthalten, zu unterbinden. Betroffen sind alle Accounts in welchen PHP5 im CGI-Modus ausgeführt wird. Mit einem solchen Aufruf wurden die PHP-Dateien im Quellcode angezeigt, es war somit durchaus möglich z.B. Zugangsdaten zu Datenbanken auszulesen.
Sofern Sie PHP5 als CGI-Modul nutzen empfehlen wir Ihnen dringend, die in den Scripten verwendeten Zugangsdaten zu ändern."

Weitere Infos bei Heise!

Gruß
wapjoe

bei Antwort benachrichtigen
mi~we wapjoe „Gefahr durch offene PHP-Lücke“
Optionen
http://heise.de/-1567906

"Da sich der PHP-Interpreter für CGI nicht an die Spezifikationen des CGI-Standards hält, werden URL-Parameter in bestimmten Situationen als Kommandozeilen-Parameter an PHP übergeben."
Standards sind auch nur was für Weicheier.Überrascht Peinliches Gemurkse!
"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
wapjoe mi~we „http: heise.de -1567906 Da sich der PHP-Interpreter für CGI...“
Optionen

Ach sich an Standards zu halten ist genauso uncool, wie regelmäßig Update aufzuspielen... Stirnrunzelnd

bei Antwort benachrichtigen
xafford wapjoe „Gefahr durch offene PHP-Lücke“
Optionen
die gerade in PHP entdeckte Sicherheitslücke zwang uns alle Aufrufe, welche ?-s enthalten, zu unterbinden.

Ich hoffe mal dass das nicht die einzige Sicherheitsvorkehrung deines Hosters ist, denn der Parameter -s ist eher noch einer der harmloseren...

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
mi~we wapjoe „Gefahr durch offene PHP-Lücke“
Optionen

Nächster Versuch:

http://heise.de/-1570510

Diesmal hat es anscheinend geklappt!

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen