Kritische RCE-Sicherheitslücke in PHP-CGI entdeckt

Table of Contents

DEVCORE hat eine schwerwiegende Remote-Code-Execution-Sicherheitslücke (CVE-2024-4577) in PHP entdeckt. Diese Schwachstelle ermöglicht es Angreifern, durch Argument-Injection beliebigen Code auf PHP-Servern auszuführen, die unter Windows betrieben werden. Aufgrund der hohen Verbreitung und einfachen Ausnutzbarkeit von PHP stuft DEVCORE die Schwachstelle als kritisch ein. Die Lücke wurde dem PHP-Team gemeldet, das am 6. Juni 2024 einen Patch veröffentlichte.

Die Schwachstelle resultiert aus der fehlerhaften Implementierung des Best-Fit-Features bei der Codierungskonvertierung im Windows-Betriebssystem. Angreifer können dadurch frühere Schutzmaßnahmen wie die gegen CVE-2012-1823 durch bestimmte Zeichensequenzen umgehen. Dies ermöglicht die Ausführung beliebigen Codes auf entfernten PHP-Servern durch Argument-Injection.

Betroffene Versionen:

  • PHP 8.3 < 8.3.8
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29

Ältere PHP-Versionen (8.0, 7.x, 5.x) sind betroffen, werden jedoch nicht mehr unterstützt.

Szenarien:

  • Szenario 1: PHP im CGI-Modus unter Apache HTTP Server. Beispielsweise durch AddHandler cgi-script .php und Action cgi-script "/cgi-bin/php-cgi.exe".
  • Szenario 2: Freilegung der PHP-Binärdateien (Standardkonfiguration für XAMPP auf Windows). Dies betrifft u.a. das Kopieren von php.exe oder php-cgi.exe in das /cgi-bin/-Verzeichnis oder das Exponieren des PHP-Verzeichnisses über ScriptAlias.

Empfohlene Maßnahmen:

  • Update: Auf die neuesten PHP-Versionen 8.3.8, 8.2.20, oder 8.1.29 aktualisieren.
  • Wechsel auf andere Technologie: Falls ein Update nicht möglich ist, bietet es sich an auf Alternativen wie PHP-FPM oder Mod_PHP zu migrieren.

Related Posts

Integer Overflow Schwachstelle in AV1 Videoencoder libaom betrifft Chrome

Eine 2024 entdeckte Integer-Overflow Schwachstelle (CVE-2024-5171) betrifft die internen Funktionen der libaom-Bibliothek, insbesondere img_alloc_helper. libaom ist eine Open-Source-Bibliothek zur Kodierung und Dekodierung von AV1-Videos. Sie wird häufig in verschiedenen Multimedia-Anwendungen und -Diensten verwendet, um effiziente Videoübertragung und -speicherung zu ermöglichen. Die Library wird unter anderem dazu genutzt Videos im Chrome Browser abzuspielen und ist in Chrome ab Version 113 integriert.

Read More

Kritische RCE-Schwachstelle in Confluence Data Center und Server entdeckt

Atlassian hat eine schwerwiegende Sicherheitslücke in Confluence Data Center und Server gemeldet. Die Schwachstelle CVE-2024-21683, die als Remote Code Execution (RCE) klassifiziert ist, wurde erstmals in Version 5.2 eingeführt und betrifft mehrere Versionen der Software. Mit einem CVSS-Score von 8.3 wird diese Schwachstelle als hochgradig kritisch eingestuft.

Read More

FBI Aufruf an LockBit Opfer: wir konnten 7.000 Decryption Keys sicherstellen

In diesem Jahr führte das FBI auch eine komplexe Operation gegen LockBit durch, ein großes Ransomware-as-a-Service (RaaS)-Modell. LockBit wurde von dem russischen Programmierer Dimitri Khoroshev, alias “Putinkrab”, “Nerowolfe” und “LockBitsupp” gegründet. Er lizenziert LockBit-Ransomware an hunderte kriminelle Gruppen und erhält 20 % der erpressten Gelder. Khoroshev unterstützt seine Affiliates durch Hosting, Schätzung optimaler Lösegeldforderungen und Geldwäsche. Seit 2019 hat LockBit weltweit über 2.400 Angriffe durchgeführt, die Milliarden von Dollar an Schäden verursacht haben.

Read More