发布日期：2003-02-17
更新日期：2003-02-21

受影响系统：

PHP PHP 4.3.0

描述：

---

CVE(CAN) ID: CVE-2003-0097

PHP是一种被广泛使用的脚本语言，用于开发基于Web的CGI程序，它可被安装在包括Apache、IIS、 Caudium、Netscape、iPlanet和OmniHTTPd等多种Web服务器上。

PHP 4.3.0版本中的CGI SAPI模块存在漏洞，远程攻击者可以利用这个漏洞以WEB进程权限访问系统上的任意文件。

PHP包含代码可使用"--enable-force-cgi-redirect"配置选项和php.ini中的"cgi.force_redirect"选项来防止直接访问CGI二进制程序，不过存在漏洞可导致这些选项无效，任何人可以利用有这个漏洞的CGI模块以WEB进程权限访问服务器上的任意文件。如果攻击者可以注入代码到CGI可访问文件中，就可以诱骗PHP执行任意PHP代码。

注:此漏洞不影响任何其他的SAPI模块(如Apache或ISAPI模块等)。

<*来源：Jani Taskinen （sniper@php.net）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104550977011668&w=2
*>

建议：

---

厂商补丁：

PHP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载升级到PHP最新版本4.3.1：

http://www.php.net/downloads.php

浏览次数：3798
严重程度：0（网友投票）