Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 4 reacties
Bron: PHP, submitter: Twilightnl

PHP noemt zichzelf een hypertext pre-processor en wordt voornamelijk toegepast om dynamische content in de opmaaktaal html serverside te genereren. De software wordt veelal gebruikt in combinatie met het databaseprogramma MySQL, waarmee de dynamische content van websites en forums wordt geserveerd. De ontwikkelaars hebben versies 5.4.2 en 5.3.12 uitgebracht en voorzien van de volgende aankondiging:

PHP 5.3.12 and PHP 5.4.2 Released!

There is a vulnerability in certain CGI-based setups (Apache+mod_php and nginx+php-fpm are not affected) that has gone unnoticed for at least 8 years. Section 7 of the CGI spec states:

Some systems support a method for supplying a [sic] array of strings to the CGI script. This is only used in the case of an `indexed' query. This is identified by a "GET" or "HEAD" HTTP request with a URL search string not containing any unencoded "=" characters.

So, requests that do not have a "=" in the query string are treated differently from those who do in some CGI implementations. For PHP this means that a request containing ?-s may dump the PHP source code for the page, but a request that has ?-s&=1 is fine.

A large number of sites run PHP as either an Apache module through mod_php or using php-fpm under nginx. Neither of these setups are vulnerable to this. Straight shebang-style CGI also does not appear to be vulnerable.

If you are using Apache mod_cgi to run PHP you may be vulnerable. To see if you are, just add ?-s to the end of any of your URLs. If you see your source code, you are vulnerable. If your site renders normally, you are not.

To fix this, update to PHP 5.3.12 or PHP 5.4.2.

We recognize that since CGI is a rather outdated way to run PHP, it may not be feasible to upgrade these sites to a modern version of PHP. An alternative is to configure your web server to not let these types of requests with query strings starting with a "-" and not containing a "=" through. Adding a rule like this should not break any sites. For Apache using mod_rewrite it would look like this:
  RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
  RewriteRule ^(.*) $1? [L]
If you are writing your own rule, be sure to take the urlencoded ?%2ds version into account.

Making a bad week worse, we had a bug in our bug system that toggled the private flag of a bug report to public on a comment to the bug report causing this issue to go public before we had time to test solutions to the level we would like. Please report any issues via bugs.php.net.

For source downloads of PHP 5.3.12 and PHP 5.4.2 please visit our downloads page, Windows binaries can be found on windows.php.net/download/. A ChangeLog exists.
Versienummer:5.4.2 / 5.3.12
Releasestatus:Final
Besturingssystemen:Scripttaal, Windows 7, Linux, BSD, Windows XP, macOS, Solaris, UNIX, Windows Server 2003, Windows Vista, Windows Server 2008
Website:PHP
Download:http://www.php.net/downloads.php
Licentietype:Voorwaarden (GNU/BSD/etc.)
Moderatie-faq Wijzig weergave

Reacties (4)

Pas op, begeleidende tekst is hopeloos achterhaald.
Zie http://www.php.net/archive/2012.php#id2012-05-06-1 voor verbeterde RewriteRules.

En de volgende update staat idd ook op de stoep.
De nieuwere versies 5.3.13 en 5.4.3 zijn al te downloaden.
Bij Gentoo zit 5.3.13 nu ook in de repository. Kan ik eindelijk m'n server patchen. Geen lekker gevoel als er een gapend lek dagenlang openstaat.
Niet erg handig, ik wacht namelijk op 5.3.13 welke vandaag uitkomt. In v5.3.12 is het probleem niet verholpen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True