Updates für PHP7: NGINX-Server mit PHP-FPM waren aus der Ferne angreifbar
Betreiber eines NGINX-Webservers mit PHP-FPM sollten zügig updaten: Aktuelle PHP-Versionen schließen eine Lücke, für die es Exploit-Code gibt.
(Bild: StockSnap)
In allen PHP-7-Versionszweigen klafft(e) eine Sicherheitslücke, die entfernten Angreifern unter eng gesteckten Voraussetzungen die Codeausführung auf verwundbaren Webservern ermöglicht(e). Betroffen sind laut dem Entdecker der Lücke allerdings nur NGINX-Server, auf denen der FastCGI-Prozessmanager PHP-FPM zum Einsatz kommt. Zudem müssten auch im Hinblick auf die Serverkonfiguration bestimmte Voraussetzungen erfüllt sein.
Wie aus dem PHP-7-Changelog hervorgeht, hat das PHP-Entwicklerteam die Lücke mit der Kennung CVE-2019-11043 in den vergangene Woche veröffentlichten Versionen 7.1.33, 7.2.24 und 7.3.11 geschlossen. Ein zügiges Update ist ratsam – vor allem angesichts der Tatsache, dass bereits ausführlich dokumentierter Proof-of-Concept-Code bei GitHub verfügbar ist, der Angriffe auf die Lücke stark vereinfacht.
Details zur Lücke CVE-2019-11043 sind unter anderem dem PHP-Bugtracker-Eintrag ihres Entdeckers (Sec Bug #78599) zu entnehmen. Zudem hat Sicherheitssoftware-Hersteller Tenable die zusätzlichen Voraussetzungen, unter denen NGINX-Server mit verwundbaren PHP-Versionen verwundbar sind, in einem Blogeintrag zusammengefasst.
Update 28.10.19, 22:38: Inhaltliche Korrektur: In der ursprünglichen Fassung dieser Meldung wurde PHP-FPM irrtümlich als PHP-Interpreter bezeichnet. (ovw)
