发布日期：2001-01-17
更新日期：2001-01-17

受影响系统：

    PHP PHP 4.0.4
    PHP PHP 4.0.3
    PHP PHP 4.0.1
    PHP PHP 4.00

描述：

---

PHP(个人主页软件包)由PHP开发小组负责分发、维护，PHP为WEB页面提供了增强属性
和附加功能。

该软件包的Apache模块中存在一个问题，允许非授权访问受限资源，该问题仅当PHP
与Apache Web Server一起使用时存在。本来目录访问控制是由.htaccess文件指定的，
然而，通过提交一个精心构造的URL请求，有可能迫使PHP采用前一次访问页面的控制
属性决定是否返回本次请求的页面。该问题使得恶意用户可以访问受限资源，收集有
助于进一步损坏系统安全性的其他信息。

<* 来源：Zeev Suraski (zeev@zend.com) *>


建议：

---

厂商补丁：

PHP开发小组提供了如下升级方案：

http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net



浏览次数：4100
严重程度：0（网友投票）