frank
Goto Top

Systematische Angriffe auf eine alte PHP-Lücke

Für alle Administratoren, die ihr PHP noch nicht aktualisiert haben! Alle PHP Versionen vor der Version 5.3.12 und 5.4.2 besitzen eine sehr hässliche und große Sicherheitslücke. Betroffen sind die Server, die PHP im CGI-Modus betreiben und noch nicht auf Version 5.3.12 und 5.4.2 aktualisiert haben.

Seit Kingcope seinen Exploit dazu veröffentlicht hat, gibt es sehr viele Versuche (auch auf unserem Server), diese Lücke auszunutzen. Der Angreifer erhält damit eine Shell auf dem Server.

Die CVE-ID dazu lautet: CVE-2012-1823

In den Log-Dateien des jeweiligen Servers sollten sich folgende Einträge finden:
238.23.x.y - - [08/Nov/2013:09:11:23 +0100]  "POST /cgi-bin/php5?%2D%64+%61%6C%6 .."
Die aktuelle PHP-Version von Ubuntu 12.04 LTS lautet zwar 5.3.10, wurde aber durch einen Backport abgesichert (gilt damit auch für Debian).

Gruß
Frank

Content-Key: 221496

Url: https://administrator.de/contentid/221496

Ausgedruckt am: 28.03.2024 um 09:03 Uhr