发布日期：2002-02-08
更新日期：2002-02-13

受影响系统：

PHP PHP 4.1.1
PHP PHP 4.1
PHP PHP 4.0.6
PHP PHP 4.0.5
PHP PHP 4.0.4
PHP PHP 4.0.3
PHP PHP 4.0.1pl2
PHP PHP 4.0.1
PHP PHP 4.0

描述：

---

BUGTRAQ  ID: 4063
CVE(CAN) ID: CVE-2002-0253

PHP是使用广泛的脚本语言，主要用于WEB开发和CGI编程。

当使用Apache服务器时，一些默认配置的PHP版本存在路径泄漏的漏洞。

如果PHP包含文件使用相对目录，可能引起包含引用失败。在PHP文件尾部添加斜杠'/'，然后提交请求，将返回错误信息和包含文件的完整路径。

'Require'引用一样存在这个问题。

<*来源：Paul Brereton （brereton_paul@btopenworld.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-02/0066.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改php.ini文件，设置：
  display_errors = Off
  
  使脚本的错误信息保存到日志文件，而不直接输出到浏览器。

厂商补丁：

PHP
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.php.net

浏览次数：3026
严重程度：0（网友投票）