Exploit: PHP 5.4 (5.4.3) Code Execution (Win32)
von C. Schell
Der Hacker Maksymilian Motyl hat einen Zero-Day-Exploit veröffentlicht, der eine kritische Lücke in der aktuellen PHP-Version 5.4.3 demonstriert. Hierzu nutzte er eine Schwachstelle in der Funktion com_print_typeinfo() auf Windows 32bit Systemen aus, um so auf dem Server eine Remote Shell zu öffnen.
Den Exploit finden Sie unter: www.exploit-db.com.
Da es einen Patch zur Zeit noch nicht gibt, rate ich allen Admins, die Datei-Upload-Funktion in sämtlichen PHP-Skripten zu deaktivieren!