Fehler in PHP-Modulen erlauben Ausführung beliebiger Codes

Fehler in PHP-Datenbankmodulen zur Verbindung mit SQL-Datenbanken ermöglichen die Ausführung beliebigen Codes. Admins von Shared-Hosting-Servern sollten schnell updaten, um das Einschleusen von Schadcode auf diesem Weg zu verhindern.

Wie der IT-Sicherheitsforscher Charles Fol vergangenen Donnerstag auf Twitter mitteilte, hat er zwei Fehler in PHP-Datenbankmodulen entdeckt, welche er zur Ausführung eigenen Codes nutzen konnte. Die aufgedeckten Schwachstellen betreffen alle PHP-Versionen aus den aktuell gepflegten Versionsbäumen bis einschließlich 7.4.29, 8.0.19 und 8.1.6.

Security-Bug #1: CVE-2022-31625

Die erste Sicherheitslücke betrifft die Anbindung an postgreSQL-Datenbanken. Bei geschickter Kombination bestimmter Datentypen könnten Angreifer durch ein fälschlicherweise initialisiertes Array zur Speicherung von Parametern einer Datenbankanfrage den Heap korrumpieren und eigenen (Schad-)Code auf dem Zielsystem ausführen. Um diese Lücke auszunutzen, müssten die Angreifer jedoch zusätzlich die Möglichkeit haben, eigenen PHP-Code auf dem Zielsystem auszuführen.

Security-Bug #2: CVE-2022-31626

Die zweite aufgedeckte Sicherheitslücke findet sich in der PHP-Anbindung an MySQL. Fol machte sich hier einen Pufferüberlauf in der PHP-eigenen Implementation des MySQL-Protokolls zunutze, um eingeschleusten Code auszuführen. Um diese Lücke ausnutzen zu können, muss der Zielserver allerdings eine Verbindung zu einem speziell präparierten MySQL-Server aufbauen, die zudem ein besonders langes Passwort von mehr als 4000 Zeichen nutzt.

Probleme durch Updates behoben

Die PHP-Gruppe hat schnell reagiert und beide Probleme mit den neuen PHP-Versionen 7.4.30, 8.0.20 und 8.1.7 bereits behoben. Vor allem AdministratorInnen, die Hosting-Server betreiben, sollten zügig updaten, um keine Serverübernahme zu riskieren.