Alle PHP-Versionen vor 5.2.6 enthalten einen Bug, der es Angreifern erlaubt, beliebigen Code auszuführen. Darauf weist das US-CERT in einer Vulnerability Note hin.
Aufgrund eines Bugs in der Path-Translation, die dazu verwendet wird, eine URL in den nativen Dateinamen des Webservers zu wandeln, sind alle PHP-Applikationen betroffen, die Dateinamen als Input akzeptieren. Das ist unter anderem bei Web-Facing-Anwendungen der Fall.
Problematisch ist diese Lücke vor allem deswegen, da Cyberkriminelle immer mehr dazu übergehen, Lücken in normalen Webangeboten auszunutzen, um Websites für kriminelle Zwecke zu nutzen. Durch das gestiegene Sicherheitsbewusstsein der Nutzer können Kriminelle Anwender nur noch schwer auf eigene Seiten locken.
Betreibern von PHP-Webseiten empfiehlt das US-CERT, möglichst rasch auf die am 1. Mai erschienene PHP-Version 5.2.6 zu aktualisieren. Besonders gefährdet sind Betreiber von kommerziellen Webangeboten, die Kreditkartenkartenzahlungen erlauben. Kreditkartendaten gelten als extrem beliebte Beute von kriminellen Datenjägern.
Meist machen die Datenjäger kleine Unternehmen zu Opfern. Dass "Bob's Bike Shop" leichter zu hacken ist als Amazon, wüssten die Kriminellen sehr gut, sagt Ken Rutsky, Vice President des Enterprise-Gateway-Sicherheitsunternehmens Secure Computing.
