Eine Sicherheitslücke in PHP7, die unter eng gesteckten Voraussetzungen entfernten Angreifern die Codeausführung auf verwundbaren Webservern ermöglicht, wurde vergangene Woche geschlossen. Laut dem Entdecker seien allerdings nur NGINX-Server mit dem FastCGI-Prozessmanager PHP-FPM betroffen. Bestimmte Voraussetzungen im Hinblick auf die Serverkonfiguration müssten darüber hinaus gegeben sein.

Die Lücke betrifft alle PHP-7-Versionszweige. Aus dem PHP-7-Changelog des PHP-Entwicklerteams geht hervor, dass die Lücke CVE-2019-11043 mit den Versionen 7.1.33, 7.2.24 und 7.3.11 geschlossen wurde. Es ist auch ein ausführlich dokumentierter Proof-of-Concept-Code bei GitHub verfügbar. Weitere Informationen können dem PHP-Bugtracker-Eintrag und einem Blogeintrag des Sicherheitssoftware-Hersteller Tenable entnommen werden.

(tl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE