Wie gestern auch im Standard zu lesen war, weisen einige Versionen der Scriptsprache PHP schwere Sicherheitslücken auf. Dadurch soll es möglich sein, Webserver zum Absturz zu bringen bzw. Zugriff auf den jeweiligen Rechner zu erhalten. Es wird empfohlen, auf Version 4.1.2 upzudaten oder die auf php.net erhältlichen Patches einzuspielen.
Einge Dinge, die mir beim Prüfen dieser Meldung und beim Update unseres Servers aufgefallen sind:
– Eine genaue Beschreibung, wie denn nun diese Lücke auszunutzen wäre, habe ich nirgends gefunden. Die OpenSource-Gemeinde hält sich da gottseidank eher zurück, um nicht irgendwelche Scriptkiddies auf blöde Ideen zu bringen.
– Offenbar werden die Linux-Distributoren wie RedHat vor der Öffentlichkeit informiert. Auch gut, weil dadurch für alle gängigen RedHat-Distibutionen die aktualisierten PHP-Pakete bereits am 27.2. zum Download bereitgestellt wurden.
– Um mit diesen Paketen PHP wieder zum Laufen zu bringen, benötigt man auch eine aktualiserte mm-1.1.3-2.i386.rpm. Die wiederum wird von Apache mitbenutzt, welcher dann in unserer vorigen Version nicht mehr startet. Insofern steht auch gleich der Download der aktuellen Apache-Pakete an.
Und mittlerweile funktioniert alles wieder prächtig.
- Rezension vs. Rezession - Mi. 27.12.2023
- Was Corona und Lotto gemeinsam haben - Di. 9.11.2021
- Heute vor 20 Jahren hat das große Abenteuer Segeln für mich begonnen :-) - Mi. 28.4.2021