News Web-Server wegen PHP-Exploit unter Beschuss

[fethomm]

Seit rund einer Woche existiert ein Exploit für eine Lücke in PHP, die bereits seit einem Jahr bekannt und mittlerweile in den Versionen 5.3.12 und 5.4.2 geschlossen ist. Der jetzt kursierende Exploit nutzt ältere Installationen von PHP aus, wenn PHP im CGI-Modus betrieben wird.

Zur News: Web-Server wegen PHP-Exploit unter Beschuss

 

[Cool Master]

Wie sieht es mit:

PHP Version 5.3.3-7+squeeze17

aus? Muss ich da auch updaten?

 

[ARNOFPS]

Wie sieht es mit:

PHP Version 5.3.3-7+squeeze17

aus? Muss ich da auch updaten?

5.3.3 < 5.3.12, also ja, updaten!

Da Du offensichtlich Debian Squeeze nutzt, wäre es zu empfehlen die PHP Versionen von www.dotdeb.org zu benutzen, die werden öfter aktualisiert, als in den Debian Sources.

 

[Flachzange]

Auf meinem Strato vserver ist php 5.3.10 installiert. OS ist Ubuntu 12.04. Scheinbar sind die Strato-Paketquellen nicht up-to-date*. Genau genommen lautet das Paket: 5.3.10-1ubuntu3.8

*Sollte Strato nicht selbst rumgefummelt haben.

 

[Cool Master]

Merci

Aktuell:

PHP Version 5.3.27-1~dotdeb.0

@Flachzange

Genau deswegen hat man ein root Server. Paketquelle eben in der /apt/sources.list hinzugefügt update, upgrade und fertig.

 

[c0by]

5.3.3 < 5.3.12, also ja, updaten!


Da Du offensichtlich Debian Squeeze nutzt, wäre es zu empfehlen die PHP Versionen von www . dotdeb . org zu benutzen, die werden öfter aktualisiert, als in den Debian Sources.

Danke, für die Empfehlung. Musste auch erstmal updaten.

 

[Rayman2200]

Naja wie im Beitrag geschrieben steht, betrifft es nur die CGI Variante von PHP. Ich denke die meisten werden alleine schon aus Performancegründen mod_php nutzen. Die Angriffe die gegen meinen Debian Squeeze VServer liefen, waren erfolglos.

Ich fand da schon die Bot-Welle vom letzten Monat schlimmer, die phpMyAdmin Installation angriff.

 

[rzrit]

PHP Version 5.4.4-14+deb7u5

also alles gut

 

[Linus9000]

/usr/share/doc/php5-common/changelog.Debian.gz:

php5 (5.3.3-7+squeeze9) squeeze-security; urgency=high

* CVE-2012-1823,CVE-2012-2311: Fix PHP-CGI query string parameter
vulnerability

Heißt: Der Patch wurde nach 5.3.3-7+squeeze9 zurückportiert, +squeeze17 ist demnach nicht verwundbar.

 

[marcol1979]

Die 5.5.x ist wohl nicht betroffen ?
Und mit "5.4.2" ist wohl die 5.4.20 gemeint ?

 

[Redirion]

edit: meh, da war schon jemand schneller
Die aktuelle PHP Version 5.3.3-7+squeeze17 ist nicht betroffen.

Genauergesagt wurde es bereits am 8.Mai.2012 mit squeeze9 gefixt.

Auszug aus dem offiziellen Changelog
php5 (5.3.3-7+squeeze9) squeeze-security; urgency=high

* Add more return value checks for CVE-2011-4153 (pulled from OpenSUSE)
* CVE-2012-1172: Fix insufficient validation of upload name leading
to corrupted $_FILES indices
* CVE-2012-1823,CVE-2012-2311: Fix PHP-CGI query string parameter
vulnerability

-- Ondřej Surý <ondrej@debian.org> Tue, 08 May 2012 12:18:57 +0200

 

[Bigfoot29]

Die Frage ist, seit welcher PHP-Version dieser Fehler auftaucht? Üblicherweise werden viele Bugs ja durch Programmierfehler erst "eingeschleppt"... findet sich dazu auch etwas?

Danke vorab.

Regards, Bigfoot29

 

[eXactA!m]

Kleiner Fehler im Text. Ihr sprecht von der Ubuntu LTE-Version, ihr meint sicherlich die LTS-Version mit Long-Term-Support...

 

[Janniboy]

Gut das alle meine Server mit PHP 5.5.5 laufen

PHP 5.5 scheint ja nicht betroffen zu sein, gell?

 

[Maurice]

Kleiner Fehler im Text. Ihr sprecht von der Ubuntu LTE-Version, ihr meint sicherlich die LTS-Version mit Long-Term-Support...

Danke, fixed.

 

[Cool Master]

Gut das alle meine Server mit PHP 5.5.5 laufen

Das Glück haben nicht alle Vor allem wenn man LMS hostet (Moodle). Wir fahren da sogar noch Version 2.3.9+ obwohl es schon 2.6 oder so gibt. Gibt aber nichts über ein Stabiles System