Vulnerability Bulletins |
Vulnerabilidad en el módulo CGI en PHP versión 4.3.0 |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Aumento de la visibilidad |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | PHP 4.3.0 |
Description |
|
| PHP contiene código para prevenir el acceso directo al binario CGI mediante la opción de configuración "--enable-force-cgi-redirect" y la opción de php.ini "cgi.force_redirect". En PHP 4.3.0 existe una vulnerabilidad que hace que estas opciones se vuelvan inútiles. Cualquiera con acceso a las websites hospedadas en un servidor web que emplee el módulo CGI puede explotar esta vulnerabilidad para conseguir acceso a cualquier fichero accesible por el servidor. | |
Solution |
|
|
Actualización de software Instale la versión 4.3.1 o posterior http://www.php.net/downloads.php |
|
Standar resources |
|
| Property | Value |
| CVE | CAN-2003-0097 |
| BID | |
Other resources |
|
|
PHP Security Advisory: CGI vulnerability in PHP version 4.3.0 http://www.php.net/release_4_3_1.php |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-02-18 |