Sårbarhed i PHP ventes fjernet i dag

Artiklen blev oprindeligt publiceret den 8/5/2012

Udviklerne af PHP regner med at lukke et alvorligt sikkerhedshul i webprogrammet. Et tidligere forsøg på at rette fejlen mislykkedes.

Sårbarheden findes kun i PHP-installationer, der kører som CGI-scripts. Den gør det muligt at videregive parametre til PHP-programmet som afvikles af serveren. På den måde kan en angriber få adgang til at afgive systemkommandoer.

Udviklerne mente at have lukket hullet med version 5.3.12 og 5.4.2, der kom den 3. maj. Men sikkerhedsforskere påviste, at deres rettelse var let at omgå.

Udviklerne regner nu med at komme med rettelse senere i dag. Indtil da kan man indføre filtrering via Apaches mod_rewrite.

Anbefaling
Brug mod_rewrite, hvis I kører PHP som CGI. Installer rettelsen, når den kommer.

Links