Sicherheitspatch nachgebessert: Schadcode-Attacken auf PHP möglich

Offensichtlich haben die PHP-Entwickler eine Softwareschwachstelle aus 2012 nicht korrekt geschlossen. Wie Sicherheitsforscher nun herausgefunden haben, sind unter bestimmten Bedingungen trotz installiertem Patch noch Attacken möglich. Jetzt gibt es ein überarbeitetes Sicherheitsupdate.

Das Sicherheitsproblem

Darauf sind Sicherheitsforscher von Devcore gestoßen, die ihre Erkenntnisse in einem Beitrag ausführen. Sie haben herausgefunden, dass der Patch gegen die "kritische" Schadcode-Lücke mit der Kennung CVE-2012-1823 unter Windows umgehbar ist.

Das liegt ihnen zufolge an der Best-Fit-Funktion der Kodierungsumwandlung unter Windows. Im Zuge dessen sollen Angreifer den Schutz mittels bestimmter Zeichenfolgen umgehen können, die sie an das PHP-CGI-Skrip schicken, um einen Argument-Injection-Angriff durchzuführen.

Die Forscher erläutern, dass Angreifer auf Server mit den lokalen Einstellungen Traditional Chinese (Code Page 950), Simplified Chinese (Code Page 936) oder Japanese (Code Page 932) direkt Schadcode ausführen können.

Neues Sicherheitsupdate verfügbar

Das Umgehen des Patches hat zu einer neuen Lücke geführt (CVE-2024-4577 "kritisch“). Um Systeme abzusichern, müssen Admins eine der im PHP-Changelog abgesicherten Ausgaben 8.1.29, 8.2.20 oder 8.3.8 installieren. Alle vorigen Versionen sollen bedroht sein. Darunter fallen auch alle XAMPP-Ausgaben in den Standardeinstellungen.

In ihrem Beitrag beschreiben die Forscher, wie Admins herausfinden können, ob ihre Systeme angreifbar sind. Außerdem zeigen sie auf, wie Admins Systeme temporär absichern können, wenn die Installation des Sicherheitsupdates derzeit nicht möglich ist.

Die Forscher teilen mit, dass sie die PHP-Entwickler Anfang Mai dieses Jahres zur Problematik kontaktiert haben. Das Sicherheitsupdate erschien knapp einen Monat später.

(des)