Aktueller Patch bringt keine Sicherheit der PHP Umgebung
Durch die aktuelle Sicherheitslücke lässt sich vorhandener PHP Code als HTML ausgeben. Dies wäre ja evt. noch zu verkraften, wenn es sich um keine einmaligen Scripte handelt! Doch es kommt noch schlimmer nicht nur die Ausgabe kann beeinflusst werden – durch die Sicherheitslücke ist es auch möglich den vorhandenen Code zu modifizieren und diesen auszuführen.
Was dies bedeutet kann sich jeder Webmaster gut vorstellen. Die Jungs von den PHP Entwicklern arbeiten derzeit mit Hochdruck an einem Fix und haben auch schon ein Update für PHP veröffentlicht, welches jedoch nicht sauber funktioniert und die Lücke schließt! Da der Bug nun immer bekannter wird empfehle ich dringend allen Webseitenbetreibern die Systeme per Hand zu schützen!
Wer ist betroffen?
Alle PHP Systeme welche im CGI Modus betrieben werden.
Was kann man dagegen tun?
Die einfachste Möglichkeit sein System zu schützen ist derzeit wohl eine kleine Änderung der Config des Apache Servers, in welcher man diesen verbietet den betroffenen Code auszuführen!
Und dies geht so:
.htaccess Datei im Root Verzeichnis des Webspaces öffnen und folgende Zeilen einfügen:
RewriteEngine on
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? – [F,L]
ACHTUNG!!
Diese Änderung muss natürlich auf jedem Webspace ausgeführt werden!
Alternative: CGI bietet derzeit einen Wrapper an, welcher das Ausführen des Schadcodes ebenfalls unterbindet. Dies wäre eine globale temporäre Lösung des Problems und ist allen Hostern zu empfehlen!