PHP-Lücke

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von hahni, 3. Mai 2012.

  1. hahni

    hahni Active Member

    Hallo zusammen,

    ich habe gerade bei Heise gesehen, dass es eine PHP-Lücke gibt:
    heise online | Gefahr durch offene PHP-Lücke

    Ich habe das prompt ausprobiert und meine, dass es mit ISPConfig 2 und ISPConfig 3 keine Probleme gibt. Stimmt das oder müssen wir Sicherheitsmaßnahmen treffen?

    Viele Grüße

    Hahni
     
  2. Till

    Till Administrator

    ISPConfig selbst läuft undter mod-php oder fastcgi, sollte daher nicht betroffen sein. Wenn Du aber Seiten in ISPConfig angelegt hast die mit php cgi oder suphp laufen, dann solltest Du sie auf php-fastcgi umstellen.
     
  3. zwarag

    zwarag New Member

    workaround von heise im komflikt mit typo3 steht

    laut heise gibt es die Möglichkeit mit
    Code:
    RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
    RewriteRule ^(.*) $1? [L]
    die Lücke zu schließen.

    Ich erreiche gerade unsern Typo3-Dev nicht und würde gerne wissen ob Typo damit weiterhin klar kommt oder wir hier eine andere Lösung suchen müssen.
     
  4. Till

    Till Administrator

    Typo3 sollte an sich immer unter php-fcgi laufen wie im manual beschrieben, alles andere ist zu langsam und fcgi ist von dem Problem nicht davon betroffen. Wenn Du also cgi oder suphp einsetzt, dann stell es auf php-fcgi um und aktiviere die suexec Checkbox.
     
  5. hahni

    hahni Active Member

    Hallo Till,

    von den Einstellmöglichkeiten, von denen zu sprichst... wo finde ich die bei ISPConfig 2 und ISPConfig 3?

    Viele Grüße

    Hahni
     
  6. Till

    Till Administrator

    ISPConfig 2 nutzt normalerweise immer mod_php, ist also nicht betroffen.
    ISPConfig 3m schau mal in die Webseiteneinstellungen Du kannst es nicht verfehlen denn es gibt da nur eine einziges Feld zu php.
     
  7. daben

    daben Member

    Hat den Bug schon jmd. hier reproduziert bekommen?
    Bei den Webseiten mit der Einstellung PHP als CGI bekomme ich durch Anhängen von ?-s den Fehler nicht reproduziert....
     
  8. Raver

    Raver New Member

    Welche PHP Version betreibst du denn genau?
    Mach mal bitte eine info.php mit dem Inhalt:
    Code:
    <?php
    phpinfo();
    ?>
    
    Dort findest du die Version, andernfalls per SSH mit "php -v"
     
  9. daben

    daben Member

    das ist eine ältere Version, 5.2.X - noch ein built für lenny
     
  10. hahni

    hahni Active Member

    Ich bin schon mal beruhigt, dass das bei ISPConfig 2 kein Problem darstellt. Die meisten und wichtigsten Server von mir laufen alle noch damit. Es ist das beste Control-Panel, dass es ja gab/gibt! Von daher noch einmal großes Lob an euch!

    Bei den ISPConfig 3-Servern muss ich wohl nun alle Webpräsenzen einzeln durchgehen oder kann man nach so etwas filtern? Das sind zwar Kunden-Server, die auf ISPConfig 3 bestanden, doch ich muss da auch für Sicherheit sorgen...
     
  11. daben

    daben Member

    heise online | PHP patcht schnell, aber nicht gründlich

    es sollten daher auch ältere Versionen davon betroffen sein...
     
  12. Till

    Till Administrator

    In ISPConfig kannst Du nicht danach filtern daes die Spalte in der Liste nicht gibt. Aber Du kannst ggf. in phpmyadmin in der web_domain Tabelle danach suchen.
     
  13. hahni

    hahni Active Member

    Also ist "Fast-CGI" als ISPConfig 3-Einstellung nicht richtig?
     
  14. Till

    Till Administrator

    Bitte nicht cgi und fast-cgi durcheinander bringen, das sind 2 verschiedene PHP Einbindungsarten. Hier nochmal:

    Richtig und empfohlen: php-fastcgi
    Nicht empfohlen: php-cgi
     
  15. hahni

    hahni Active Member

    Hallo Till,

    vielen Dank für deine stets prompten Antworten. Die Voreinstellung von ISPConfig 3 scheint "Fast-CGI" zu sein. Das jedenfalls steht als Wert in der Aufklappliste und ist - wie du schon geschrieben hattest - die einzige Auswahlmöglichkeit bezüglich PHP. Demnach scheint alles zu passen?

    Viele Grüße

    Hahni
     

Diese Seite empfehlen