Month of PHP Bugs: 18 ungepatchte Lücken
Unter anderem ist es über die Lücken möglich, eigenen Code im Kontext des Webservers auszuführen. Die dazu veröffentlichten Exploits binden ein Shell an den TCP-Port 4444.
- Daniel Bachfeld
Im Rahmen des Month of PHP Bugs haben die Initiatoren bislang 34 Fehler veröffentlicht, drei davon betreffen nur die Zend-Plattform, einer das Apache-Filtermodul mod_security. Von den 30 in PHP gefundenen Fehler waren zur Zeit der Veröffentlichung 18 noch nicht gepatcht, einige sind sowohl in PHP 4 und PHP 5 zu finden, andere hingegen betreffen nur PHP 5.
Unter anderem ist es über die Lücken möglich, eigenen Code im Kontext des Webservers auszuführen. Die dazu veröffentlichten Exploits binden ein Shell an den TCP-Port 4444. Allerdings lassen sich die meisten Lücken nur durch präparierten PHP-Code ausnutzen; ein Angreifer muss also bereits Zugang zu einem Webserver haben. Insbesondere bei Webhostern, die Shared Webspace anbieten, wird dies zum Problem, weil so Anwender auf die Daten anderer Anwender zugreifen können.
Zudem könnte sich ein Angreifer so einen Shell-Zugang zum Server verschaffen, auf den er normalerweise Daten nur per FTP hochladen kann – moderne PHP-Shells realisieren dies aber bereits auf komfortablere Weise.
Bei einigen der Lücken schließen die Initiatoren des MOPB aber nicht aus, dass sie sich aus der Ferne ausnutzen lassen. Zwei Kandidaten dafür sind Funktionen zur Verarbeitung von Session-Variablen. Interessant ist auch eine Schwachstelle, mit der sich die unsichere Option register_globals wieder aktivieren lässt. Unter Umständen werden so weitere von anderen Anwendern auf einem Server betriebene, in PHP geschriebene Webanwendungen verwundbar. Ein vollständige Übersicht der Fehler mit detailierter Beschreibung und Exploit zum Download findet sich auf der Homepage des Month of PHP Bugs.
Wann es für welche der 18 offenen Lücken Updates geben wird, ist unklar. Bei einigen glauben die Initiatoren des MOPB nicht an eine schnelle Lösung, da dazu sehr tiefe Eingriffe notwendig seien. Als Abhilfe preisen sie ihre Lösung Suhosin an, die auch vor unbekannten Lücken in PHP und dessen Kern schützen soll.
Siehe dazu auch:
- The Month of PHP Bugs, Übersicht aller gefundenen Fehler
- Zwischenstand zum Month of PHP Bugs, Meldung auf heise Security
(dab)
