[bug] PHP benutzt falsche php_admin-Einstellungen...

Alles, was PHP betrifft, kann hier besprochen werden.

[bug] PHP benutzt falsche php_admin-Einstellungen...

Postby Shoukri » 09. February 2004 19:49

... ich liebe das BSI :P

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

######################################################################

CERT-Bund -- Warn- und Informationsdienst

######################################################################


Kurzinformation zu Schwachstellen und Sicherheitsluecken
========================================================================


Titel: PHP benutzt falsche php_admin-Einstellungen bei
Anfragen an virtuelle Hosts in Apache

ID: [04/0075]
Datum: 2004-02-09
Software: PHP
Version: <= 4.3.4
Plattform: Windows, Unix, Linux, Other
Auswirkung: Umgehen von Sicherheitsvorkehrungen
Remoteangriff: ja
Risiko: mittel
Bezug: <http://www.securitytracker.com/alerts/2004/Feb/100897
3.html>


Kurzinfo: Einstellungen in der Datei php.ini fuer einen
virtuellen Host in Apache werden unter Umstaenden bei
der Bearbeitung einer nachfolgenden Anfrage an einen
anderen virtuellen Host beibehalten.

Ein Patch fuer die Datei sapi/apache/mod_php4.c ist im
CVS verfuegbar.


---------------------------------------------------------------------

BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 -- CERT-Bund

<mailto:certbund@bsi.bund.de> / <http://www.bsi.bund.de/certbund>

========================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>

Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
<http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.

HINWEIS:

Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
========================================================================

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iQEVAwUBQCdmg3HeVh32gfHqAQKJywf/TZ/cL5u6+SeSwAT67DcrkQ7Ecq3fV3j1
5cKXouo6R/MglMul+Rxtp51+u2IpfQ2WVvurmKsbHOEkj/l8Yga/7RCd2UkHkk0M
vYS9AsTWGBVYu3hOGgbMTURlFc2iH1lFknLaUQM4rCPDokoSS9yahEMmGyrPNXqj
xcGAvWv0FM3mDv1G+PqPyYbjw8VYHZ5Xh8B3Yd4FWkuLimISeyWoE02sHXLn6VZn
iuYuzwH+CGNO3DBm1O5WThqqvHqRYnEiiJKY9UAJ6AaRTgK2JClP4r0/hLNwwuZX
ORgwQHbmFm1In30ywAUx66+R77+DLPd1O/R1w1FZ3laYVXeACHZFdw==
=acCP
-----END PGP SIGNATURE-----
User avatar
Shoukri
 
Posts: 76
Joined: 29. October 2003 00:25

Postby Oswald » 09. February 2004 19:55

Es wird Zeit für eine neue XAMPP-Version...
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby michaa » 26. February 2004 17:51

Hi,

gilt das ausdrücklich nur für die 4.3.4?

weil ich die 4.3.5 RC1 benutze, und die angegebene url nicht erreichbar ist, intreressiert mich das..

gruß

michael
Gruß

Michael
michaa
 
Posts: 4
Joined: 25. February 2004 01:27

Postby Shoukri » 26. February 2004 19:36

sorry die (BSI) nimmt keine rücksicht auf urls ... die brechen die urls immer wieder um ..

http://www.securitytracker.com/alerts/2 ... 08973.html

ich glaube im RC tritt das nicht mehr auf ...
</shoukri>
User avatar
Shoukri
 
Posts: 76
Joined: 29. October 2003 00:25


Return to PHP

Who is online

Users browsing this forum: No registered users and 2 guests