PHP Apache模块目录权限控制漏洞

发布日期：2001-01-17
更新日期：2001-01-17

受影响系统：

PHP PHP 4.0.4
PHP PHP 4.0.3
PHP PHP 4.0.1
PHP PHP 4.00

描述：

---

PHP(个人主页软件包)由PHP开发小组负责分发、维护，PHP为WEB页面提供了增强属性
和附加功能。

该软件包的Apache模块中存在一个问题，允许非授权访问受限资源，该问题仅当PHP
与Apache Web Server一起使用时存在。本来目录访问控制是由.htaccess文件指定的，
然而，通过提交一个精心构造的URL请求，有可能迫使PHP采用前一次访问页面的控制
属性决定是否返回本次请求的页面。该问题使得恶意用户可以访问受限资源，收集有
助于进一步损坏系统安全性的其他信息。

<* 来源：Zeev Suraski (zeev@zend.com) *>


建议：

---

厂商补丁：

PHP开发小组提供了如下升级方案：

http://www.php.net/do_download.php?download_file=php-4.0.4pl1.tar.gz&source_site=www.php.net

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有