PHP ist eine Scriptsprache zur Erstellung von Web-Anwendungen. Es
besteht eine Schwachstelle beim Parsen von Daten des MIME-Typs
multipart/form-data, die z.B. mit HTTP POST Requests an den Webserver
uebergeben werden. Ein Angreifer kann diese Schwachstelle ueber das
Netz dazu ausnutzen, den PHP-Server und/oder den Web-Server zum
Absturz zu bringen (Denial-of-Service) oder beliebigen Code mit den
Privilegien des PHP-Servers auszufuehren. Nach bisherigen
Untersuchungen betrifft letzteres nicht Intel X86 basierte Systeme.
Betroffen von dieser Schwachstelle sind die PHP Versionen 4.2.0 und
4.2.1. Zur Behebung der Schwachstelle wird ein Upgrade auf Version
4.2.2 empfohlen. Die Quellen koennen von
http://www.php.net/downloads.php
bezogen werden.
Als Workaround kann im Webserver die Annahme von HTTP POST Requests
verboten werden, z.B. mit den folgenden Anweisungen in der
Konfiguration oder .htaccess Datei von Apache:
<Limit POST>
Order deny,allow
Deny from all
</Limit>
PHP-Anwendungen, die auf POST Requests angewiesen sind, funktionieren
nach Anwendung des Workarounds nicht mehr.
(c) der deutschen Zusammenfassung bei DFN-CERT GmbH; die Verbreitung,
auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT
GmbH, und nur zu nicht kommerziellen Zwecken gestattet.
Navigation
Schwachstelle in PHP
Linear-Darstellung
