[Global-announce] Sicherheitsproblem in PHP

[Paul Hink]

Liebe Hostsharing-Mitglieder und -Nutzer,

vor kurzem wurde ein Sicherheitsproblem in PHP bekannt, das es bei
einer bestimmten PHP-Konfiguration erlaubt, beliebigen Code mit den
Rechten des Users, unter dem PHP auf dem Server läuft, auszuführen. [1]

Da diese Sicherheitslücke bisher weder in dem von uns eingesetzen PHP
aus Debian woody noch in der unter /usr/local bereitgestellten
PHP-Version behoben wurde, wurden als Workaround am vergangenen Freitag
die zentralen PHP-Konfigurationsdateien so geändert, dass die oben
genannte Sicherheitslücke nicht mehr ausgenutzt werden kann.

Usern, die eigene PHP-Konfigurationsdateien bspw. für PHP-Scripts per
CGI oder im Zusammenhang mit einer eigene Webserverkonfiguration
("eigene httpd.conf") verwenden, empfehlen wir im Sinne der Sicherheit
ihrer eigenen Accounts dringend, ihre Konfigurationsdateien zu
überprüfen und ggf. anzupassen.

Betroffen von obigem Problem sind solche PHP-Konfigurationen, in denen
das "memory_limit" [2] nicht explizit deaktiviert ist, in denen also
entweder ein Limit definiert ist oder diese Variable nicht explizit auf
-1 gesetzt wurde. Der Workaround besteht nach [1] aus dem Deaktivieren
des memory_limits:

	memory_limit = -1

Nachteil dieses Workarounds ist, dass PHP-Scripts beliebig viel
Arbeitsspeicher verwenden können und so evtl. ein DoS-Angriff
ausgeführt werden kann, was jedoch im Vergleich zur sonst möglichen
Kompromittierung von Accounts das kleinere Übel zu sein scheint.

[1]: CAN-2004-0594
     http://lists.netsys.com/pipermail/full-disclosure/2004-July/023908.html
[2]: http://de3.php.net/manual/en/ini.sect.resource-limits.php#ini.memory-limit

Vielen Dank für die Beachtung aller Sicherheitshinweise.

Alles Gute im Namen der Hostmaster,

Paul Hink
-- 
Hostsharing e.G. - http://www.hostsharing.net/