Schwerwiegende Sicherheitslücke in PHP

Heise berichtete gestern übere eine äußerst schwerwiegende Sicherheitslücke in aktuellen PHP-Versionen. Der Fehler tritt auf, wenn PHP im CGI-Modus betrieben wird und erlaubt es, PHP-Dateien im Quellcode zu sehen. Damit können beispielsweise hinterlegte Zugangsdaten für Datenbanken ausgelesen werden. Zudem ist es möglich, mithilfe dieser Lücke Code einzuschleusen und auf dem Server auszuführen, was das Problem noch schwerwiegender macht.

Durch das Übermitteln von Parametern in der URL kommt es dazu, dass PHP im CGI-Modus diese als Kommandozeilenparameter interpretiert und entsprechend nutzt. Durch die URL

http://localhost/index.php?-s

wird PHP beispielsweise mit der Option -s ausgeführt, der Quellcode der PHP-Datei wird als HTML ausgegeben.

Inzwischen wurden bereits Patches zur Verfügung gestellt, die Versionen 5.3.12 und 5.4.2 schließen die beschriebene Lücke. Wer die Updates noch nicht einspielen kann, sollte die Queries zunächst filtern. Der folgende Eintrag in der .htaccess Datei macht das möglich:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

Verschiedene Provider haben zwischenzeitlich den CGI-Modus von PHP komplett deaktiviert.

Tags: , ,

XSS – Was ist eigentlich Cross Site Scripting?

In der Vergangenheit habe ich schon einige Male diesen Begriff verwendet: Cross Site Scripting (XSS). Meist habe ich dann auf einen Artikel in der Wikipedia verlinkt, um mir die Erklärungen ersparen zu können.

Frank Bueltge war jedoch nicht ganz so bequem wie ich und hat einen hervorragenden Artikel zum Thema Cross Site Scripiting verfasst, den ich Euch hiermit ans Herz legen möchte. Er beschreibt, was das überhaupt ist, welche Gefahren davon ausgehen und wie man bei der Erstellung eigener Plugins, Themes oder anderer PHP-Scripte vermeiden kann, XSS-anfälligen Code zu schreiben. Aber auch für Nicht-Entwickler ist sein Artikel interessant, vielleicht nimmt Frank so dem einen oder anderen Blogger die Lust auf Meckerei, wenn mal wieder ein WordPress-Update fällig ist 😉

Tags: , , , , ,

Vanilla: Mini-Forum als Open Source

vanilla.jpg

Vanilla ist eine richtig schicke kleine Lösung für all diejenigen, die mal eben auf die Schnelle ein Forum einrichten möchten und vor phpBB und Co. zurückschrecken. Die Grundinstallation bringt gerade mal 380kB (gepackt) auf die Waage, das Beispiel- und Support-Forum kommt ein klein wenig ungewohnt, aber durchaus nicht unhandlich daher. In der Grundversion sind alle wichtigen Funktionen enthalten, die ein kleines Forum benötigt, weitere Features lassen sich recht einfach über Addons nachrüsten. Ich werde das Programm in den nächsten Tagen mal ein wenig genauer testen, da ich etwas derartiges für ein anderes Projekt benötige und mir da phpBB für eine Integration einfach immer zu fett war.

Danke Golem.de für den Tip! 😉

Tags: , , , ,

Angriffsversuche auf WordPress oder PHP?

Seit ein paar Tagen tauchen in meinem Log hier recht ungewöhnliche Zugriffsversuche auf. Hunderte von Anfragen, meist innerhalb weniger Minuten kommen hier an, es sind Zugriffen auf nicht existierende URLs und sie fallen auf, weil sie sich aus extrem langen Pfadangaben zusammensetzen. Die sehen zum Beispiel so aus (zum Teil noch wesentlich länger):

http://www.xsized.de/photoshop-tutorial-selektives-
scharfen/feed:http://www.xsized.de/comments/feed/fe
ed:http://www.xsized.de/comments/feed/feed:http://t
agg.selfip.com/blog/feed/feed:http://www.xsized.de/
feed/">http://www.xsized.de/photoshop-tutorial-sele
ktives-scharfen/feed:http://www.xsized.de/comments/
feed/feed:http://www.xsized.de/comments/feed/feed:h
ttp://www.xsized.de/feed/feed:http://tagg.selfip.co
m/blog/feed/

Eigenartig, oder? Ich hab keine Ahnung, wo diese Zugriffe herkommen, an die echten Logdateien komme ich im Moment nicht heran und das Auswertungstool, welches ich hier verwende, zerstückelt extakt die Adressen, von denen diese Anfragen kommen. Irgendwie wirkt das ganze zumindest im Moment auf mich, als würde jemand (bzw. ein Tool) gezielt nach Schwachstellen suchen und versuchen, einen Buffer Overflow zu generieren. Ich habe bislang noch keine Stelle gefunden, an der eventuell ein Plugin oder WordPress selbst vielleicht einen fehlerhaften Link in dieser Form generieren würde, zudem sehe ich für diese Anfragen auch keine verweisenden Seiten, sie scheinen also direkt abgerufen zu werden.

Meine Versuche, die ich mit diesen URLs angestellt habe, zeigen mir im Moment auch keine Probleme, diese Anfragen scheinen derzeit nichts zu bewirken, lediglich die 404-Seite wird angezeigt. Trotzdem lässt die aktuelle Häufung bei mir ein wenig die Alarmglocken klingeln. Sind derartige Zugriffsversuche schon anderen aufgefallen? Ist irgendein Fehler im aktuellen WordPress, in PHP oder beim Apache bekannt, der sich durch Aufrufe überlanger URLs ausnutzen liesse? Werde selbst noch einmal recherchieren, aber vielleicht ist da ja jemandem etwas bekannt. Würde mich über Hinweise freuen.

Tags: , , , , ,