Für eine kürzlich gepatchte Sicherheitslücke in der Programmiersprache PHP7 steht nun ein Proof of Concept (PoC) zur Verfügung. Der Sicherheitsanbieter Bad Packets weißt darauf hin, dass die Anfälligkeit benutzt werden kann, um aus der Ferne Schadcode einzuschleusen und die Kontrolle über einen Server zu übernehmen, auf dem PHP7 ausgeführt wird.
Seit Anfang der Woche steht Beispielcode für den Exploit auf GitHub zur Verfügung. Um die Schwachstelle auszunutzen, werden offenbar keine besonderen technischen Kenntnisse benötigt. „Das im GitHub-Repository enthaltene PoC-Skript kann einen Ziel-Webserver abfragen, um festzustellen, ob er anfällig ist oder nicht, indem es speziell gestaltete Anfragen sendet“, erklärte Satnam Narang, Senior Security Response Manager bei Tenable. “ Sobald ein gefährdetes Ziel identifiziert wurde, können Angreifer speziell gestaltete Anfragen senden, indem sie ‚?a=‘ in der URL an einen gefährdeten Webserver anhängen.“
Allerdings sind nicht alle PHP-fähigen Webserver anfällig. Die Lücke beschränkt sich auf NGINX-Server, auf denen PHP-FPM aktiviert ist. PHP-FPM, wobei FPM für FastCGI Process Manager steht, ist eine alternative Implementierung von PHP, die über zusätzliche Funktionen verfügt. Zudem ist PHP-FPM keine Standkomponente von NGINX-Installationen. Einige Hosting-Anbieter bauen sie jedoch ab Werk in ihre Hosting-Umgebungen ein.
Dazu gehört Nextcloud, das Ende vergangener Woche seine Kunden mit einem Security Advisory auf das Problem aufmerksam machte. Darin rät das Unternehmen seinen Kunden dringend, auf eines der aktuellen Releases 7.3.11 oder 7.2.24 umzusteigen. Wahrscheinlich führen aber auch noch weitere Anbieter die anfällige Kombination aus NGINX und PHP-FPM aus.
Entdeckt wurde die Anfälligkeit von Andrew Danau vom Sicherheitsanbieter Wallarm. Demnach gibt es auch einen Workaround für Websitebetreiber, die aus technischen Gründen derzeit ihre PHP7-Installationen nicht aktualisieren können. Dafür muss die Firewall Standard Mod_Security so konfiguriert werden, dass sie „%0a“-Bytes in URLS blockiert und so alle eingehenden Angriffe verhindert.
Websitebetreiber sollten aufgrund des verfügbaren Exploits und Einfachheit eines Angriffs ihrer Servereinstellungen prüfen und falls möglich ihre PHP-Installationen schnellstmöglich aktualisieren.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…