Der Hacker Maksymilian Motyl eine neue Sicherheitslücke in der aktuellen PHP-Version entdeckt und einen
Exploit veröffentlicht. Darin demonstriert er eine kritische Lücke in der Funktion com_print_typeinfo() der aktuellen PHP-Version 5.4.3. Nach Angaben von Motyl ist sie allerdings nur auf 32-Bit-Windows-Systemen ausnutzbar.
Anscheinend öffnet das Exploit auf dem Server eine Remote Shell. Darüber kann ein Angreifer beliebige Befehle auf dem Server ausführen. Zwar sind noch keine näheren Informationen über die Lücke veröffentlicht, aber das Internet Storm Center bezeichnet das Exploit als ernsthafte Bedrohung. Bis ein Sicherheitsupdate zur Verfügung steht, wird den Admins dringend
geraten, die Datei-Upload-Funktion in allen PHP-Skripten zu deaktivieren. Außerdem empfehlen die Experten, Shellcode mittels Intrusion-Prevention-Systems (IPS) zu filtern. Weiter sollten die Buffer Overflows über IPS auf dem Host (HIPS) blockiert werden. Inwieweit auch ältere PHP-Versionen anfällig sind, ist noch nicht bekannt.
Anders als zuerst gemeldet lässt sich die Sicherheitslücke aber wohl nicht über Remote-Code ausnutzen. Bei
ISC-Diary gibt es einen entsprechenden Hinweis. Ein Angreifer müsste also zuerst in der Lage sein, PHP-Code auf den Server zu laden.