发布日期：2005-09-28
更新日期：2005-09-28

受影响系统：

PHP PHP 5.0.5
PHP PHP 4.4.0

描述：

---

BUGTRAQ  ID: 14957
CVE(CAN) ID: CVE-2005-3054

PHP是广泛使用的通用目的脚本语言，尤其适合于Web开发，可嵌入到HTML。

PHP的fopen_wrappers.c实现上存在输入验证漏洞，攻击者可能利用漏洞遍历系统目录。

如果open_basedir指令包含有斜杠（“/”）的话，PHP的fopen_wrappers.c不能正确的限制对其他目录的访问，允许一个目录中的PHP脚本访问其他目录中的文件。

<*来源：thorben （thorben@gawab.com）
  
  链接：http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=323585
*>

建议：

---

厂商补丁：

PHP
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.php.net

浏览次数：3242
严重程度：0（网友投票）