Brakke PHP-patch helpt niet tegen kritieke 0-day

door

pleister

door

Nieuws - Het PHP-team heeft een spoedpatch uitgebracht voor het 0-day gat dat woensdag per ongeluk uitlekte. Direct zijn er openlijke twijfels of de noodoplossing wel werkt.

Het aanzienlijke gat, waarmee malafide code op afstand is uit te voeren op servers, was bij het securityteam van PHP al sinds januari bekend. Sindsdien is in de luwte gewerkt aan een officiële fix. Totdat deze week per ongeluk alle details over de bug op straat kwamen te liggen.

'Noodoplossing werk niet'

Direct nadat PHP met de billen bloot moest, besloten ook de oorspronkelijke ontdekkers van het gat, Eindbazen.net, hun vondst openbaar te maken. Zij voegden daarbij workarounds toe om de kwetsbaarheid af te dekken voor misbruik. PHP reageert nu door binnen een dag te komen met een spoedpatch. Daarbij is een uitleg gepost voor gebruikers die hun setups willen testen op kwetsbaarheid.

Maar er is direct twijfel of de patch wel werkt. Een oud-medewerker van PHP, beveiligingsmedewerker Stefan Esser, heeft inmiddels via Twitter gezegd dat volgens hem deze noodoplossing helemaal niets oplost. Eindbazen.net meldt hetzelfde en zeggen een oplossing te hebben gevonden voor de gebreken van de spoedpatch van PHP. Op korte termijn willen de oorspronkelijke ontdekkers komen met nieuwe security-updates.

Risico op grote schade

Het interne bugrapport lekte woensdag uit via forumsite Reddit nadat het ten onrechte door iemand was gemarkeerd als 'publieke informatie'. Daardoor is het risico ontstaan dat hackers misbruik kunnen maken van het gat waarmee aanzienlijke schade is uit te richten.

Aanvallers zouden op afstand, zonder authenticatie, niet alleen eigen code kunnen uitvoeren, maar ook denial-of-service (DoS) kunnen veroorzaken en daarmee mogelijk hele servers die PHP draaien, platleggen. Voorwaarde hierbij is wel dat de webserver een "nogal obscuur deel van de CGI-specificatie volgt", wat in ieder geval zo is bij het veelgebruikte Apache.

Lees meer over:

Security, code, PHP, malware, zero-day

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

25 SEPTEMBER: IT INNOVATION DAY
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.