-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
Kurzinformation zu Schwachstellen und Sicherheitsluecken
========================================================================
Titel: PHP benutzt falsche php_admin-Einstellungen bei
Anfragen an virtuelle Hosts in Apache
ID: [04/0075]
Datum: 2004-02-09
Software: PHP
Version: <= 4.3.4
Plattform: Windows, Unix, Linux, Other
Auswirkung: Umgehen von Sicherheitsvorkehrungen
Remoteangriff: ja
Risiko: mittel
Bezug: <http://www.securitytracker.com/alerts/2004/Feb/100897
3.html>
Kurzinfo: Einstellungen in der Datei php.ini fuer einen
virtuellen Host in Apache werden unter Umstaenden bei
der Bearbeitung einer nachfolgenden Anfrage an einen
anderen virtuellen Host beibehalten.
Ein Patch fuer die Datei sapi/apache/mod_php4.c ist im
CVS verfuegbar.
---------------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 -- CERT-Bund
<mailto:certbund@bsi.bund.de> / <http://www.bsi.bund.de/certbund>
========================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>
Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
<http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
========================================================================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
iQEVAwUBQCdmg3HeVh32gfHqAQKJywf/TZ/cL5u6+SeSwAT67DcrkQ7Ecq3fV3j1
5cKXouo6R/MglMul+Rxtp51+u2IpfQ2WVvurmKsbHOEkj/l8Yga/7RCd2UkHkk0M
vYS9AsTWGBVYu3hOGgbMTURlFc2iH1lFknLaUQM4rCPDokoSS9yahEMmGyrPNXqj
xcGAvWv0FM3mDv1G+PqPyYbjw8VYHZ5Xh8B3Yd4FWkuLimISeyWoE02sHXLn6VZn
iuYuzwH+CGNO3DBm1O5WThqqvHqRYnEiiJKY9UAJ6AaRTgK2JClP4r0/hLNwwuZX
ORgwQHbmFm1In30ywAUx66+R77+DLPd1O/R1w1FZ3laYVXeACHZFdw==
=acCP
-----END PGP SIGNATURE-----
