07.06.2024 13:58
Sicherheitslücke (CVE-2024-4577) für Remote-Code Ausführung in PHP-CGI / XAMPP entdeckt
Update: 7. Juni 16:10: Es liegen uns erste Berichte vor, nach denen bereits nach verwundbaren Systemen gescannt wird.
In PHP-CGI wurde eine Sicherheitslücke (CVE-2024-4577) entdeckt, die es Angreifern ermöglicht, aus der Ferne und ohne Authentifizierung beliebigen Code auf betroffenen Servern auszuführen. Die Schwachstelle betrifft PHP-Installationen auf Windows-Systemen und erlaubt es Angreifern, durch spezifische Zeichenfolgen den Schutz einer früheren Sicherheitslücke (CVE-2012-1823) zu umgehen und einen Argument-Injection-Angriff durchzuführen.
Relativ kritisch ist die Situation aktuell allerdings nur für Server mit den Sprach- und Regionseinstellungen Traditionelles Chinesisch, Vereinfachtes Chinesisch und Japanisch. Für diese Systeme wurde bestätigt, dass ein Angreifer direkt beliebigen Code ausführen kann. Allerdings ist unklar, ob sich die Locale-Einstellungen auf das Gesamtsystem oder nur auf den Content-Type der Anfrage beziehen. Bei anderen Sprach- und Regionseinstellungen ist eine vollständige Auflistung aller möglichen Angriffsvektoren derzeit nicht möglich.
Außerdem ist es wichtig zu beachten, dass die Kombination von PHP, CGI und Windows bei offen erreichbaren Servern eher ein Nischenszenario darstellt. Dennoch sollten Nutzer von XAMPP, bei denen diese Konfiguration standardmäßig verwendet wird, die Sicherheitslücke ernst nehmen.
Betroffen sind die PHP-Versionen 8.3 < 8.3.8, 8.2 < 8.2.20 und 8.1 < 8.1.29 auf Windows-Systemen sowie ältere, nicht mehr unterstützte Versionen. Das PHP-Team hat Updates für die unterstützten Versionen veröffentlicht, die die Schwachstelle beheben. Für XAMPP stehen aktuell noch keine Updates zur Verfügung.
Langfristig sollten Administratoren eine Migration zu sichereren Alternativen wie Mod-PHP, FastCGI oder PHP-FPM in Betracht ziehen.