US-CERT: Sicherheitslücke in PHP entdeckt

Path-Translation erlaubt Angreifern die Ausführung beliebigen Codes

Alle PHP-Versionen vor 5.2.6 enthalten einen Bug, der es Angreifern erlaubt, beliebigen Code auszuführen. Darauf weist das US-CERT in einer Vulnerability Note hin.

Aufgrund eines Bugs in der Path-Translation, die dazu verwendet wird, eine URL in den nativen Dateinamen des Webservers zu wandeln, sind alle PHP-Applikationen betroffen, die Dateinamen als Input akzeptieren. Das ist unter anderem bei Web-Facing-Anwendungen der Fall.

Problematisch ist diese Lücke vor allem deswegen, da Cyberkriminelle immer mehr dazu übergehen, Lücken in normalen Webangeboten auszunutzen, um Websites für kriminelle Zwecke zu nutzen. Durch das gestiegene Sicherheitsbewusstsein der Nutzer können Kriminelle Anwender nur noch schwer auf eigene Seiten locken.

Betreibern von PHP-Webseiten empfiehlt das US-CERT, möglichst rasch auf die am 1. Mai erschienene PHP-Version 5.2.6 zu aktualisieren. Besonders gefährdet sind Betreiber von kommerziellen Webangeboten, die Kreditkartenkartenzahlungen erlauben. Kreditkartendaten gelten als extrem beliebte Beute von kriminellen Datenjägern.

Meist machen die Datenjäger kleine Unternehmen zu Opfern. Dass "Bob’s Bike Shop" leichter zu hacken ist als Amazon, wüssten die Kriminellen sehr gut, sagt Ken Rutsky, Vice President des Enterprise-Gateway-Sicherheitsunternehmens Secure Computing.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu US-CERT: Sicherheitslücke in PHP entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *