Schwachstellen in PHP-Modulen gefährden zahlreiche Webapplikationen
In PHPXMLRPC und dessen Ableger PEAR XML_RPC sind Sicherheitslücken enthalten mit denen Angreifer eigenen PHP-Code einschleusen können.
Webanwendungen, die auf PHP beruhen und in denen Funktionen für XML-RPC zum Einsatz kommen, laufen Gefahr, geknackt zu werden. Nach Angaben des Sicherheits- und PHP-Spezialisten Stefan Esser sind in PHPXMLRPC und dessen Ableger PEAR XML_RPC Sicherheitslücken enthalten, mit denen Angreifer eigenen PHP-Code einschleusen und im Kontext des Webservers ausführen können. Gemäß der zwei von Esser veröffentlichten Advisorys ist der Fehler in den Funktionen zu finden, die XMLRPC-Anfragen und -Antworten verarbeiten.
Zentrale Rolle spielt wieder einmal die Funktion eval(), die auch bereits Anfang Juli in den genannten Modulen Löcher aufriss. Esser weist allerdings in seinen Reports darauf hin, dass die Probleme diesmal nicht von fehlerhaftem Escaping von Nutzereingaben herrühren. Stattdessen bietet diesmal die Auswertung der in Dokumenten eingebetteten XML-Tags Angreifern die Gelegenheit, Schadcode auszuführen.
Zusammen mit den Entwicklern ist man das Problem angegangen und hat eine zusätzliche Prüfung der Tags eingebaut. Darüberhinaus wurden noch sämtliche eval()-Aufrufe eliminiert, um zukünftigen darauf basierenden Angriffen vorzubeugen. Die aktualisierten Versionen von PHPXMLRPC und PEAR XMP_RPC stehen zum Download bereit. Betreiber von Webapplikationen sollten in den nächsten Tagen auf Advisorys der Hersteller achten. Sehr wahrscheinlich sind zahlreiche Content-Management-Systeme und Wikis betroffen. Für das CMS Drupal ist bereits ein Security Advisory erschienen.
Siehe dazu auch: (dab)
- PEAR XML_RPC Remote PHP Code Injection Vulnerability, Fehleranalyse von Stefan Esser
- PHPXMLRPC Remote PHP Code Injection Vulnerability, Fehleranalyse von Stefan Esser
