Denial of Service-Attacke gegen PHP
Auf dem zur Zeit stattfindenden 28. Chaos Communication Congress (28C3) wurde heute ein Angriff gegen eine Reihe von Programmiersprachen vorgestellt. Der Angriff basiert auf einem Problem bei der Implementierung sogenannter Hash-Tables und betrifft unter anderem die beliebte Web-Programmiersprache PHP. Mit wenig Aufwand kann damit ein Webserver überlastet werden, auf dem eine beliebige PHP-Applikation läuft.
Ein Workaround, den PHP jetzt umgesetzt hat, ist die Begrenzung der Anzahl zulässiger POST-Variablen. Die Server von schokokeks.org nutzen alle die Suhosin-Erweiterung für PHP, die bereits eine Begrenzung der POST-Variablen vorsieht. Das bedeutet, dass wir von dem Angriff (zumindest in dieser Form) nicht betroffen sind. In ihrem Vortrag deuteten die Entdecker dieser Schwachstelle an, dass sie sich möglicherweise über andere Wege trotzdem ausnutzen lässt. Sobald PHP einen endgültigen Fix bereitstellt, werden wir diesen selbstverständlich installieren.
Wir sind erfreut, dass sich unsere Strategie, auf proaktive Sicherheit zu setzen, erneut bewährt hat und wir durch Suhosin vor dem Angriff bereits geschützt sind.
Nur wenige Kunden bei schokokeks.org nutzen andere Programmiersprachen für Webapplikationen. Für Ruby stand bereits nach wenigen Stunden eine korrigierte Version bereit, die wir umgehend installiert haben.
Eine Zusammenfassung der Inhalte des Vortrages findet man hier, ein Video des Vortrags hier.