Gestern Abend wurde eine Sicherheitslücke in PHP5 weltweit bekannt, noch bevor ein Update für PHP zur Verfügung stand. Als erste Maßnahme haben wir gestern Abend alle Aufrufe die ?-s enthalten gefiltert um die Nutzung dieser Sicherheitslücke zu verhindern.
In der Nacht wurden dann seitens der Entwickler Updates für PHP5 zur Verfügung gestellt, für php5.3.12 und php5.2.12 wurden diese für unsere Server angepasst und bereits in der Nacht ab ca 3 Uhr begonnen auf allen Servern zu verteilen.
Sofern Sie PHP5 im CGI-Modus eingesetzt haben, bestand durch diese weltweite Sicherheitslücke die Möglichkeit den Quellcode der Dateien an zu zeigen, damit auch eventuell in Ihrem Quellcode verwendete Zugangsdaten oder Logins – sofern Dritte bereits von dieser Sicherheitslücke wussten UND ihre Webseite daraufhin untersucht hätten.
Wir schätzen die Wahrscheinlichkeit das die Sicherheitslücke bereits ausgenutzt wurde, als eher gering ein, dennoch können wir diese nicht ausschließen. Sicherheitslücken in PHP werden aufgrund der hohen Verbreitung dieser Software immer sehr schnell publik und auch sehr schnell behoben, aber ob irgend jemand bereits vorher von der Lücke wusste und diese auch nutzte, lässt sich von niemandem prüfen.
Sollten Sie Zugangsdaten in Ihren PHP5 Skripten verwenden oder früher verwendet haben (bspw. Zugangsdaten zu Datenbanken oder Schnittstellen) empfehlen wir vorbeugend ein Ändern der in den Skripten verwendeten Passwörter.
Quelle zur Sicherheitslücke: heise
Update 4.05.12
Das von den Entwicklern zur Verfügung gestellte Update auf die Versionen auf die PHP-Versionen 5.3.12 und 5.4.2 war fehlerhaft, ermöglichte weiterhin das Ausführen von Code. Diese Sicherheitslücke bliebt 8 Jahre lang unentdeckt… einen neuen Patch gibt es noch nicht. Unsere PHP5 Versionen laufen mit einem modifizierten Patch und die eigenen Filter bleiben weiterhin aktiv um den Missbrauch der Sicherheitslücke zu vermeiden.
Quelle zur weiter bestehenden Sicherheitslücke: heise