De zakelijke webhostingdienst van KPN was kwetsbaar voor het ernstige lek in PHP dat donderdag bekend raakte. De broncode van sites van KPN-klanten kon daardoor worden bekeken en uitvoeren van eigen code was mogelijk.
Inmiddels zijn de problemen verholpen, nadat Nederlandse beveiligingsonderzoekers KPN en het Nationaal Cyber Security Centrum op de hoogte hadden gesteld.
Het is onbekend of alle zakelijke webhostingklanten van KPN door de bug risico liepen, of slechts een deel van hen. De provider was niet in staat om tijdig commentaar te geven.
De bug maakte het mogelijk om command line-argumenten door te geven aan PHP, waardoor met het aanroepen van '/index.php?-s' bijvoorbeeld de broncode van een bestand kan worden gedumpt. Ook is het mogelijk om eigen code uit te voeren.
Alle installaties die php-cgi of PHP in een cgi-wrapper gebruiken, zijn kwetsbaar. Die implementatie wordt niet zo vaak meer gebruikt; veel PHP-installaties draaien via fastcgi of als een Apache-module. Sommige shared hosting-providers gebruiken de kwetsbare methode echter wel, waaronder dus KPN.
Ook webhoster Byte was kwetsbaar, maar die provider werd ingelicht voordat het beveiligingsprobleem bekend werd. Daardoor had de provider voldoende tijd om haar PHP-installatie te patchen. De provider raadt nog wel aan om uit voorzorg wachtwoorden 'met enige regelmaat' te wijzigen.
Donderdag publiceerde PHP een patch voor het ernstige beveiligingsprobleem, maar deze blijkt zeer eenvoudig te omzeilen. De beveiligingsonderzoekers die de bug ontdekten, een groep die zichzelf De Eindbazen noemt, adviseren om een van de twee door hen geschreven patches zelf door te voeren in de broncode.
Het beveiligingsprobleem - dat al sinds 2004 aanwezig was - zou aanvankelijk pas geopenbaard worden wanneer er een fix beschikbaar was, maar nadat de bug per ongeluk was gepubliceerd, deed De Eindbazen zijn ontdekking uit de doeken. Naar nu blijkt is de kwetsbaarheid gepubliceerd door een bug in de bugtracker van PHP.