Sicherheitslücken in PHP 7 – 8.1

Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos…) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind .

In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren.

Viele Webseiten basieren auf , dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden.

Das quelloffene Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand.

Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.

Verwandte Beiträge
Open-Audit Offline-Scans
#OpenAudit versucht im Namen des Domänen-Admins (Konto in der Aufgabenplanung, das den Scan auf dem Open-Audit-Server ausführt), per Windows Management
OpenAudit Classic Hard-/Software-Inventar
Mit der quelloffenen Software "OpenAudit Classic" lassen sich Hard- und Software inventarisieren. Täglich um 11:00 Uhr laufen dabei Aufgaben, die
Open-Audit Classic GPL – Plattform aktualisiert
Die Betriebsplattform des Intranet Inventarisierungs-Servers #OpenAudit Classic wurde nun auf die aktuellen Produkte angepasst. So sind nun auf Apache 2.4,
Batchverarbeitung
n rn(Alle Dateien eines Ordners automatisch als PDF erzeugen): Dazu PDFCreator starten, dann ein Profil „PDFAutosave“ rnrnanlegen:rn[Profile], Druckdialog
Kennwort-Sicherheit mangelhaft?
Das Bundesamt für Sicherheit in der Informationstechnik gibt in den Grundschutz-Katalogen Anweisungen, wie Unternehmen ein Mindestmaß an Sicherheit erreichen können.
Handeln Sie nach dem IT-Sicherheits-Gesetz
Seit Mai 2015 gibt es das für alle Unternehmen verpflichtende IT-Sicherheitsgesetz. Eine Studie von PricewaterhouseCoopers ergab, dass viele Unternehmen die
Über den Autor:

Patrick Bärenfänger ist TÜV-zertifizierter IT-Security Manager und -Auditor und seit über 30 Jahren in der IT-Branche. Seine Schwerpunkte sind die Ausbildung/Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen nach BSI-Grundschutz-Katalogen und IDW PS 330 und die Intrastruktur-Analyse und -Optimierung.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.