Web-Server wegen PHP-Exploit unter Beschuss

Seit rund einer Woche existiert ein Exploit für eine Lücke in PHP, die bereits seit einem Jahr bekannt und mittlerweile in den Versionen 5.3.12 und 5.4.2 geschlossen ist. Der jetzt kursierende Exploit nutzt ältere Installationen von PHP aus, wenn PHP im CGI-Modus betrieben wird.

Die Lücke in der serverbasierten Skriptsprache PHP erlaubt einem Angreifer, über die aufrufende URL direkt Kommandozeilenparameter zu übergeben und Code einzuschleusen und auszuführen. Der seit einer Woche kursierende Exploit stellt dem Angreifer eine Shell auf dem angegriffenen Server bereit.

Betreiber von Web-Servern mit noch ungepatchten Versionen von PHP sind dringend aufgerufen, ihre Installation zu aktualisieren. Ubuntu setzt zwar in der LTS-Version 12.04 noch PHP 5.3.10 ein, die Version ist aber mittlerweile korrigiert und somit sicher vor diesem Exploit. Gleiches gilt für Debian, das in der aktuell stabilen Version Debian 7.2 ein ebenfalls nachträglich bereinigtes PHP 5.4.4-14+deb7u5 anbietet.

PHP ist im Internet weit verbreitet, da beispielsweise so populäre Anwendungen wie MediaWiki, WordPress, Joomla und viele andere in dieser Sprache geschrieben sind.