安全研究
安全漏洞
PHP Apache模块目录权限控制漏洞
发布日期:2001-01-17
更新日期:2001-01-17
受影响系统:
PHP PHP 4.0.4
PHP PHP 4.0.3
PHP PHP 4.0.1
PHP PHP 4.00
描述:
PHP(个人主页软件包)由PHP开发小组负责分发、维护,PHP为WEB页面提供了增强属性
和附加功能。
该软件包的Apache模块中存在一个问题,允许非授权访问受限资源,该问题仅当PHP
与Apache Web Server一起使用时存在。本来目录访问控制是由.htaccess文件指定的,
然而,通过提交一个精心构造的URL请求,有可能迫使PHP采用前一次访问页面的控制
属性决定是否返回本次请求的页面。该问题使得恶意用户可以访问受限资源,收集有
助于进一步损坏系统安全性的其他信息。
<* 来源:Zeev Suraski (
zeev@zend.com) *>
建议:
厂商补丁:
PHP开发小组提供了如下升级方案:
http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net
浏览次数:4106
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |