GLSA 200402-01: PHP setting leaks from .htaccess files on virtual hosts
| Опасность: | средняя |
| Заголовок: | PHP setting leaks from .htaccess files on virtual hosts |
| Дата: | 07.02.2004 |
| Ошибки: | |
| ID: | 200402-01 |
Сводка
If the server configuration "php.ini" file has "register_globals = on" and a request is made to one virtual host (which has "php_admin_flag register_globals off") and the next request is sent to the another virtual host (which does not have the setting) global variables may leak and may be used to exploit the site.Назначение
PHP is a widely-used general-purpose scripting language that is especially suited for Web development and can be embedded into HTML.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| dev-php/mod_php | < 4.3.4-r4 | >= 4.3.4-r4 | All supported architectures |
Описание
If the server configuration "php.ini" file has "register_globals = on" and a request is made to one virtual host (which has "php_admin_flag register_globals off") and the next request is sent to the another virtual host (which does not have the setting) through the same apache child, the setting will persist.
Воздействие
Depending on the server and site, an attacker may be able to exploit global variables to gain access to reserved areas, such as MySQL passwords, or this vulnerability may simply cause a lack of functionality. As a result, users are urged to upgrade their PHP installations.
Gentoo ships PHP with "register_globals" set to "off" by default.
This issue affects both servers running Apache 1.x and servers running Apache 2.x.
Обход
No immediate workaround is available; a software upgrade is required.
Решение
All users are recommended to upgrade their PHP installation to 4.3.4-r4:
# emerge sync
# emerge -pv ">=dev-php/mod_php-4.3.4-r4"
# emerge ">=dev-php/mod_php-4.3.4-r4"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.