Sicherheitslücke in PHP-CGI

[Kahmoon]

Einige von uns werden heute Nacht sicherlich diese Mail bekommen haben.

Sehr geehrte ALL-INKL.COM - Kundin,
Sehr geehrter ALL-INKL.COM - Kunde,

die gerade in PHP entdeckte Sicherheitslücke zwang uns alle Aufrufe,
welche ?-s enthalten, zu unterbinden. Betroffen sind alle Accounts in
welchen PHP5 im CGI-Modus ausgeführt wird. Mit einem solchen Aufruf
wurden die PHP-Dateien im Quellcode angezeigt, es war somit durchaus
möglich z.B. Zugangsdaten zu Datenbanken auszulesen.

Sofern Sie PHP5 als CGI-Modul nutzen empfehlen wir Ihnen dringend, die
in den Scripten verwendeten Zugangsdaten zu ändern.
Ob Ihre Domain Aufrufe dieser Art hatte, können Sie nach Erstellung der
Statistiken (gegen 1Uhr) ihren Accesslogs entnehmen.

Sobald ein entsprechender Patch zur Verfügung steht werden wir diesen
in die PHP-Versionen einpflegen.

Siehe auch: http://www.heise.de/newsticker/meldu...e-1567433.html

Das dürfte auch Installationen mit den vorgeschlagenen PHP 5 Aufrufen betreffen oder?

http://www.contao.org/de/configuring...ve-server.html

AddHandler x-httpd-php5 .php
AddHandler php5-cgi .php
AddHandler php-cgi2 .php
AddHandler php-fastcgi5 .php
AddType x-mapp-php5 .php
AddType application/x-httpd-php5 .php
Action php /cgi-php5/php

Das PHP-Team hat die Versionen PHP 5.3.12 und PHP 5.4.2 veröffentlicht, die dieses Problem beseitigen. Für Admins, die derzeit noch nicht auf diese Versionen umstellen können, empfehlen sie, Query Strings zu filtern, die mit einem "-" anfangen und kein "=" enthalten. Mit dem Apache-Modul mod_rewrite erledigt das:
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

Gruß
Frank

[Nina]

Ich vermute auch, dass das auch Webspaces auf anderen Servern betrifft - völlig unabhängig davon ob dort ein CMS läuft oder nicht. Relevant ist wohl nur, ob dort PHP5 im CGI-Modus vorhanden ist.

Solange keiner der Serverfuzzis etwas alternatives dazu sagt, würde ich folgende Vorgehensweise vorschlagen:

1. In die htaccess im Rootbereich das hier einfügen:

PHP-Code:

  # PHP-Luecke beheben http://www.heise.de/newsticker/meldung/Gefahr-durch-offene-PHP-Luecke-1567433.html
  RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
  RewriteRule ^(.*) $1? [L] 


2. Mit dem Contao-Check prüfen, ob irgendwas an den Files manipuliert wurde (mit Serverzugriff ist das ja möglich).

3. Passwörter für den Webspace, Datenbank und am besten auch die CMS-Zugangsdaten ändern.

4. Darauf achten, ob der Webspace-Anbieter auf PHP 5.3.12 und PHP 5.4.2 umgestellt hat. Wenn ja, könnte man wohl die htaccess-Anweisung wieder entfernen, da diese beiden Versionen das Problem nicht mehr enthalten.

[Kahmoon]

Ich vermute auch, dass das auch Webspaces auf anderen Servern betrifft - völlig unabhängig davon ob dort ein CMS läuft oder nicht. Relevant ist wohl nur, ob dort PHP5 im CGI-Modus vorhanden ist.

Jepp, das meinte ich.

Danke für die Tipps.

[jscholtysik]

Hi zusammen,


wobei ja Fast-CGI-Installationen nicht davon betroffen sind:

Betroffen sind Server, die PHP im CGI-Modus betreiben; FastCGI-Installationen von PHP sind hingegen nicht betroffen.

[Nina]

Leo meinte dazu noch:

Übrigens ist nur php-cgi betroffen, nicht mod_php und auch nicht php-fcgi. Die meisten Server laufen aber zum Glück mit den letzteren beiden Varianten, weil diese deutlich performanter sind. Vermutlich bliebt die Lücke deswegen auch 8 Jahre lang unentdeckt.

[FloB]

Achtung! PHP 5.4.2 und 5.3.12 lösen das Problem nicht. Man sollte weiterhin den Rewrite-Filter verwenden!

[BugBuster]

Und noch ne Quelle dazu: http://it-republik.de/php/news/PHP-5...ht-062807.html

[xchs]

Diese RewriteRule sollte sicherer sein:

Code:

RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]

(http://www.php-security.net/archives...2012-2311.html)

[Grisu]

Hi,

ich habe die Nachricht heute morgen von meinem Webhoster bekommen. Nur eine Frage habe ich. Ich kenne mich mit php überhaupt nicht aus, ich finde nicht so wirklich die Stelle wo ich das einfügen soll. Ich finde schon die Stelle (Apache-Modul mod_rewrite) aber dann komme ich nicht weiter

Sorry, ich weiß wenn man mit so einem System arbeitet sollte man sich mit php auskennen, ich bin bemüht dazu zu lernen, nur so schnell gehts nicht. Über Hilfe von euch wäre ich sehr dankbar

LG
Sandra

[Kahmoon]

Der Code muss in deine .htaccess (Rootverzeichnis) nicht in eine PHP Datei.

[Grisu]

Hi,

stimmt, ich habe mich falsch ausgedrückt, sorry. Als Frischling kommt das schon mal vor ;-)

Hat sich gerade auch erledigt, ich habe bei all-inkl. nachgefragt ob sie mir da vielleicht helfen könnten und mir wurde gesagt, dass sie das Problem behoben haben und ich in der .htaccess nichts mehr machen muss :-)

Danke für die Info

LG
Sandra

[EDV-Olli]

Hätte ALL-INKL ja dann auch mal mitteilen können.

Danke für die Info, Sandra.

[Grisu]

Hi Olli,

stimmt, habe ich mir auch gedacht. Ich bin aber generell sehr zufrieden mit all-inkl. :-) Da kann man dann schon mal ein Auge zudrücken ;-)

LG
Sandra

[xchs]

Hätte ALL-INKL ja dann auch mal mitteilen können.

Haben sie ja auch gemacht (siehe oben Beitrag #1)

Wer es vielleicht überlesen haben sollte, hier gerne nochmals:

Die gerade in PHP entdeckte Sicherheitslücke zwang uns alle Aufrufe, welche ?-s enthalten, zu unterbinden.

[Grisu]

...ich bekam diese Nachricht und habe da wohl die Hälfte überlesen

[tinoo]

Ist der Code-Schnippsel in die aktuelle .htaccess.defaullt von der Version 2.11.3 eingeflossen?

[psren]

Ist der Code-Schnippsel in die aktuelle .htaccess.defaullt von der Version 2.11.3 eingeflossen?

Ich denke das sollte er nicht. Es ist ja "nur" eine Sicherheitslücke des Servers und hat nichts mit Contao an sich zu tun.
Da stehen dann wohl die Provider in der Pflicht.

[tinoo]

@psren: Hat denn die Änderung an der .htaccess irgendwelche negativen Auswirkungen auf Installationen, die nicht von diesem Serverproblem betroffen sind?