Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:L/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
PHP
(4.0.0, 4.4.1, 5.0.0RC, 5.1.0)
Описание
fopen_wrappers.c в PHP некорректно ограничивает доступ к другим каталогам, когда директива open_basedir содержит замыкающий слэш, что открывает PHP-сценариям в одном каталоге доступ к файлам в других каталогах, чьи имена являются частью подстроки изначального каталога.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.php.net/
http://www.php.net/
Ссылки
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=323585
FRSIRT (ADV-2005-1862): http://www.frsirt.com/english/advisories/2005/1862
http://www.php.net/release_4_4_1.php
TRUSTIX (TSLSA-2005-0059): http://lists.trustix.org/pipermail/tsl-announce/2005-October/000354.html
BID (14957): http://www.securityfocus.com/bid/14957
FRSIRT (ADV-2005-2254): http://www.frsirt.com/english/advisories/2005/2254
GENTOO (GLSA-200511-08): http://www.gentoo.org/security/en/glsa/glsa-200511-08.xml
MANDRIVA (MDKSA-2005:213): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:213
UBUNTU (USN-207-1): http://www.ubuntulinux.org/support/documentation/usn/usn-207-1
FRSIRT (ADV-2005-1862): http://www.frsirt.com/english/advisories/2005/1862
http://www.php.net/release_4_4_1.php
TRUSTIX (TSLSA-2005-0059): http://lists.trustix.org/pipermail/tsl-announce/2005-October/000354.html
BID (14957): http://www.securityfocus.com/bid/14957
FRSIRT (ADV-2005-2254): http://www.frsirt.com/english/advisories/2005/2254
GENTOO (GLSA-200511-08): http://www.gentoo.org/security/en/glsa/glsa-200511-08.xml
MANDRIVA (MDKSA-2005:213): http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:213
UBUNTU (USN-207-1): http://www.ubuntulinux.org/support/documentation/usn/usn-207-1