Уязвимость в PHP

19.02.2003 | 15:22
PHP Group выпущен бюллетень по безопасности, в которой описывается наличие уязвимости в PHP версии 4.3.0. Обнаружена в компоненте CGI SAPI.

Для предотвращения прямого доступа к CGI-бинарникам PHP рекомендуется собирать с опцией конфигурирования "--enable-force-cgi-redirect" и опцией "cgi.force_redirect" в файле php.ini. Однако было обнаружено, что в версии 4.3.0 эта опция не работает. Это может позволить пользователю, веб-сайт которого хостится на веб-сервере, и имеющему доступ к CGI-модулям, получить доступ на чтение к любому файлу, доступному пользователю, от имени которого запущен веб-сервер.

Также удаленный пользователь может заставить PHP выполнить произвольный PHP-сценарий, если атакующий способен внедрить код в файлы, к которым получает доступ CGI. К подобным файлам, например, относятся логи доступа.

Выпущена новая версия PHP 4.3.1, в которой этой уязвимости нет. Также отмечено, что другие SAPI-модули (такие, как Апач или ISAPI) не подвержены уязвимости. Также отмечено, что достаточно простого обновления используемого CGI-модуля из состава пакета PHP 4.3.1.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код