安全研究
安全漏洞
PHP包含文件相对目录信息泄露漏洞
发布日期:2002-02-08
更新日期:2002-02-13
受影响系统:PHP PHP 4.1.1
PHP PHP 4.1
PHP PHP 4.0.6
PHP PHP 4.0.5
PHP PHP 4.0.4
PHP PHP 4.0.3
PHP PHP 4.0.1pl2
PHP PHP 4.0.1
PHP PHP 4.0
描述:
BUGTRAQ ID:
4063
CVE(CAN) ID:
CVE-2002-0253
PHP是使用广泛的脚本语言,主要用于WEB开发和CGI编程。
当使用Apache服务器时,一些默认配置的PHP版本存在路径泄漏的漏洞。
如果PHP包含文件使用相对目录,可能引起包含引用失败。在PHP文件尾部添加斜杠'/',然后提交请求,将返回错误信息和包含文件的完整路径。
'Require'引用一样存在这个问题。
<*来源:Paul Brereton (
brereton_paul@btopenworld.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-02/0066.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 修改php.ini文件,设置:
display_errors = Off
使脚本的错误信息保存到日志文件,而不直接输出到浏览器。
厂商补丁:
PHP
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php.net浏览次数:3026
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |