In PHP wurde neulich eine große PHP-Lücke entdeckt, mit der man den PHP-Code als HTML sehen konnte – und somit auch Passwörter.

So betrifft die Lücke zum Glück nur PHP-CGI, doch trotzdem ist sie schwerwiegend.

So kann mit dem Parameter ?-s der ganze Code gelesen werden und auch direkt neue eingeschleust werden.

Ein Beispiel wäre
index.php?-s

Momentan ist der Patch in der Test-Phase. Da dieser aber fertig ist und nun noch länger als erwartet getestet wird, wurde das Problem als gelöst angesehen und damit veröffentlicht.

Als Empfehlung an jeden, der PHP-CGI verwendet: schleunigst alles offline nehmen.