Gleich zwei Fehler in PHP-Modulen zur Anbindung von SQL-Datenbanken gestatten die Ausführung beliebigen Fremd-Codes. Deshalb sollten Admins von Shared-Hosting-Servern PHP zügig updaten.

IT-Sicherheitsforscher Charles Fol fand gleich zwei Fehler in PHP-Datenbankmodulen, die er zur erfolgreichen Ausführung eigenen Codes benutzen konnte. Diese Schwachstellen stecken in allen PHP-Versionen der aktuell gepflegten Versionsbäumen bis einschließlich 7.4.29, 8.0.19 und 8.1.6.

Bug #1: postgreSQL

Die erste der Lücken (CVE-2022-31625) steckt in der Anbindung an postgreSQL-Datenbanken. Durch ein falsch initialisiertes Array zur Speicherung von Parametern einer Datenbankanfrage könnten Angreifer bei geschickter Kombination von bestimmten Datentypen den Heap korrumpieren und dann eigenen (Schad-)Code auf dem Zielsystem ausführen.

Um diese Sicherheitslücke auszunutzen, müssten sie aber zusätzlich auch die Möglichkeit haben, eigenen PHP-Code auf dem Zielsystem auszuführen.

Bug #2: MySQL

Die zweite Sicherheitslücke steckt in der PHP-Anbindung an MySQL und bekam die CVE-ID CVE-2022-31626. Hier nutzte Fol einen Pufferüberlauf in der PHP-eigenen Implementation des MySQL-Protokolls aus, um den eingeschleusten Code dann auszuführen.

Nötige Randbedingungen

Aber auch hier ist eine Randbedingung zu erfüllen, um den Schadcode injizieren zu können: Der Zielserver muss dazu eine Verbindung zu einem speziell präparierten MySQL-Server aufbauen können, die außerdem noch ein besonders langes Passwort von über 4000 Zeichen benutzt.

Der Sicherheitsdienstleister Tenable ordnete beiden Fehlern einen CVSS-Score von 9.8 (kritisch) zu und geht davon aus, dass sie ohne Authentifizierung aus der Ferne ausnutzbar sind. Und auch bei einer etwas zurückhaltenderen Bewertung erreichen die Sicherheitslücken noch immer einen Stand von 7.8 Punkten und stellen damit ein hohes Risiko dar.

Die bereinigten PHP-Versionen

Mit Updates auf die neuen PHP-Versionen 7.4.30, 8.0.20 und 8.1.7 hat das PHP-Team jetzt beide Probleme behoben. Besonders Administratoren, die Hosting-Server betreiben, sollten diese jetzt zügig updaten, um die Gefahr einer Serverübernahme zu verringern.