Skip to content
< Vorheriger Eintrag | Nächster Eintrag >

Mittwoch, 9. Mai 2012, 09:07

Kritische Lücke in PHP 5.3, Facebook, Heise

Sage mir bitte jemand, dass das hier ein Scherz der Systemadministratoren ist:


http://www.facebook.com?-s



http://www.heise.de?-s

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

AnnaChristina

Hi,

Ja, das ist ein Spaß der Sysops beider Seiten.
Die Links verweisen in beiden Fällen auf Stellenausschreibungen für IT-Security :)

AnnaChristina

Manuel Schmitt (manitu)

Zumindest bei Heise liefert der Apache aber einen wunderschönen 200er mitsamt text/plain, was zumindest bei einer automatisierten Prüfung nicht als "Scherz" zu identifizieren wäre und womit man schnell auf einer b(l)ö(d|s)en Liste landet.

Marc

Bei Facebook ist es auf jeden Fall auch ein Scherz, da die ja ihre eigene PHP Version nutzen: https://github.com/facebook/hiphop-php

Manuel Schmitt (manitu)

Ich wäre mir gerade nicht zu 100% sicher, ob dieser Fehler in der Verarbeitung der PHP-CGI-SAPI nicht auch da mit reingewandert ist!

Max

Kann jemand kurz erklären, was genau da das Problem ist?
Man will ja was lernen ;)

TM

Wenn PHP als CGI läuft lassen sich da Kommandozeilenparameter einschleusen - so z.B. `-s` um den Quellcode auszugeben.

oldschool

Ich habe meine Zweifel, daß facebook und heise.de PHP als CGI implementiert haben...Ich tippe auf den Scherz der Webmaster!

Andreas

Sehe ich genau so.
CGI dürfte da viel zu langsam sein.

Die nutzen das vermutlich als FCGI.
Modul schließe ich aus da ich, ohne nachschauen, bei beiden kein Apache vermute.

Thomas

Heise setzt meines Wissens gar nicht auf PHP, sondern auf Perl und hier spezieller auf mod_perl (und dafür suchen sie auch öfter mal Entwickler). Das spricht dann doch wieder für Apache und ganz besonders dafür, dass das ein Joke ist.

Wie man darauf kommen kann, dass das Realität ist, ist mir allerdings schleierhaft: Ein require über HTTP von einer Headhunter-Firma soll das gesamte Heise-Portal aufbauen? Ähh, ja.

El Nico

fgci?

Peter

Ich hatte auch kurz überlegt das bei unseren Websites einzubauen ;-).

dingens

Die facebook-Meldung wurde im heise-Forum mehrmals gepostet.
heise hat das dann wohl kopi...übernommen.

Hans

Ich betreibe übrigens PHP auch via CGI, aber über das SUPHP Modul um verschiedene UIDs nutzen zu können. Dieses Setup scheint nicht anfällig, liegt vielleicht am Wrapperskript.

Benedikt

Ja das liegt sogar mit sehr hoher wahrscheinlichkeit am Wrapperskript. Stand auch so in den verschiedenen Meldungen, dass PHP als CGI in einem Wrapper in den meisten Fällen nicht von dem Fehler betroffen sei sondern im Regelfall nur wenn man das PHP direkt als CGI ausführt.

Christian Aurich

Das ist sehr wahrscheinlich ein Feature und kein Bug, da ich direkt nach Bekanntgabe der Lücke auf heise eben deren Seite und Facebook (und ein paar andere) versucht habe mit dem -s Parameter aufzurufen, jedoch Erfolglos.

Christian

freya

Ich glaube nicht, dass das ein Scherz ist. Ich habe auch schon Links zu Stellenangeboten in HTTP-, Mail-Headern u.ä. gesehen - das Konzept ist also nichts neues.

X

Einige Seiten (z.B.) Meebo habens auch als Kommentar im Quelltext.
Eben da wo kein normaler User hinschaut sondern nur die, die auch was von der Materie verstehen ;-)

Kaloin

Ja, natürlich ist das ein Scherz :) Wie schon oben gesagt benutzen beide Seiten (Heise perl, Facebook php-to-c-konverter). Alles andere wäre ja ultrapeinlich und es würde nicht nur ein Link auf eine Karriere-Seite angezeigt.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
Formular-Optionen