Eine Schwachstelle in den aktuellen PHP-Versionen erlaubt Angreifern, Sicherheitseinstellungen
zu umgehen. Das Problem kann auftreten, wenn PHP als Apache-Modul eingesetzt
wird, was häufig in Shared-Hosting-Umgebungen der Fall ist. Anzeige
Die Systemeinstellungen mit php_admin_value aus der php.ini lassen sich üblicherweise
nicht durch Apache-Konfigurationsdateien wie .htaccess überschreiben. Läuft
PHP als Apache-Modul, kann der Administrator jedoch in der Apache-Konfiguration
von der php.ini abweichende Werte einstellen. In den aktuellen PHP-Versionen
5.1.6 und 4.4.4 sowie möglicherweise älteren ist es Angreifern durch
einen Fehler möglich, mit der Funktion ini_restore() den Variablenwert
aus der php.ini wiederherzustellen.
Die bei Shared-Hosting-Unternehmen sehr häufig anzutreffende PHP-Konfiguration
setzt in der php.ini die Standardwerte für safe_mode auf off und für
open_basedir keinen Wert. Meist werden erst in der Apache-Konfiguration für
die virtuellen Hosts die korrekten Werte gesetzt. Die Schwachstelle öffnet
für Schädlinge, die über Lücken in PHP-Skripten in das System
eindringen, Tür und Tor, um weitergehenden Schaden am System anzurichten.
Laut dem Entdecker der Lücke, Maksymilian Arciemowicz, ist der Fehler
in den PHP-Quellen des Versionsverwaltungssystems schon behoben, wann eine fehlerbereinigte
PHP-Version erscheinen wird, jedoch noch unklar.