FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.

Eine Exklusivmeldung von veröffentlicht am
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM.
FPM-Server können Dateien unberechtigt preisgeben - besonders problematisch ist das bei Facebooks HHVM. (Bild: sailko/Wikimedia Commons/CC-BY-SA 3.0)

Die Nutzung von Facebooks HHVM kann in der Standardeinstellung dazu führen, dass Angreifer Dateien eines Servers exfiltrieren können. Schuld daran ist der sogenannte FastCGI Process Manager (FPM), eine ursprünglich von PHP entwickelte Methode, um CGI-Skripte schneller ausführen zu können. PHP selbst ist zwar theoretisch ebenfalls betroffen, allerdings sorgen einige Schutzmechanismen dafür, dass das Risiko dort deutlich geringer ist.

Weitere Golem-Plus-Artikel
Einführung in Plotly: Damit die Daten Sinn ergeben
Einführung in Plotly: Damit die Daten Sinn ergeben

Interaktive Plots mit Plotly zu erstellen, ist nicht schwer - und sehr nützlich. In einer zweiteiligen Reihe zeigen wir Schritt für Schritt, wie es funktioniert.
Eine Anleitung von Antony Ghiroz

Pharo: Guter Einstieg in die objektorientierte Programmierung
Pharo: Guter Einstieg in die objektorientierte Programmierung

Pharo ist eine von Smalltalk abgeleitete Programmiersprache und gut für alle, die sich mit objektorientierter Programmierung vertraut machen wollen. Eine Einführung.
Eine Anleitung von Christophe Leske

Freelancer in der IT: Schön, lukrativ, aber alles andere als easy
Freelancer in der IT: Schön, lukrativ, aber alles andere als easy

Viele junge Entwickler wollen lieber Freelancer sein als angestellt. Doch das hat mehr Haken, als man denkt. Wir haben Tipps für den Einstieg.
Ein Ratgebertext von Rene Koch

    •  /