Sicherheitslücke in PHP-CGI

#1 http://www.heise.de/newsticker/meldung/Gefahr-durch-offene-PHP-Luecke-1567433.html

Aktuell gibt es eine Sicherheitslücke in PHP5 im CGI Modus, siehe Link.
Betroffen sind alle Seiten in welchen PHP5 im CGI-Modus ausgeführt wird.

Zitat

So sorgt etwa die URL
http://localhost/index.php?-s
dafür, dass der Web-Server php-cgi mit dem Parameter -s aufruft wird, was den PHP-Quellcode von index.php als HTML ausgibt, statt ihn auszuführen.

Mit einem solchen Aufruf werden die PHP-Dateien im Quellcode angezeigt, es ist somit durchaus denkbar, dass z.B. Zugangsdaten zu Datenbanken ausgelesen werden können.

Sofern PHP5 als CGI-Modul genutzt wird, kann man nur empfehlen nach Einspielen des noch zu erwartenden Patch dringend die in den Scripten verwendeten Zugangsdaten zu ändern.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#2

Zitat

Sofern PHP5 als CGI-Modul genutzt wird, kann man nur empfehlen nach Einspielen des noch zu erwartenden Patch dringend die in den Scripten verwendeten Zugangsdaten zu ändern.

fastCGI ist nicht betroffen, des weiteren teilen die Entwickler mit das man ordentlich coden können muss weil es dafür keinen Patch im eigentlichen Sinne gibt.
Also das übliche...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode