Das US-CERT warnt vor einer Sicherheitslücke in der beliebten und viel benutzten Web-Programmiersprache PHP. Sie wurde versehentlich veröffentlicht, als die Entwickler noch an einem Fix gegen das Problem arbeiteten.

Das Problem tritt nur bei Servern auf, auf denen PHP als CGI betrieben wird. FastCGI-Varianten sind nicht betroffen.

Das Problem zeigt sich dadurch, dass man beim Aufruf spezieller URLs Kommandozeilenparameter zur Ausführung mitgeben kann. Der Aufruf von http://meinedomain.de/index.php?-s zeigt den PHP-Quelltext des Programms index.php als Text in einer HTML-Seite an, statt ihn zu übersetzen und auszuführen.

Sensitive Informationen wie beispielsweise die Zugangsdaten zu Datenbanken, die häufig in PHP-Programmen stehen, können so missbraucht werden. Man kann über diese Sicherheitslücke aber auch direkt Programmcode zur Ausführung einschleusen – damit ist die Sicherheitslücke dann endgültig höchst gefährlich.

Die PHP-Versionen 5.3.12 und 5.4.2, die das Problem nicht mehr haben, kann man jetzt beim PHP-Team downloaden. Als Programmierer von Internetseiten sollten Sie Ihre CGI-Installationen von PHP dringend updaten.