PHP包含文件相对目录信息泄露漏洞

漏洞信息详情

PHP包含文件相对目录信息泄露漏洞

• CNNVD编号：CNNVD-200205-067
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0253
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2002-02-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  php
• 漏洞来源：
  Paul Brereton※ bre…

PHP是使用广泛的脚本语言，主要用于WEB开发和CGI编程。
当使用Apache服务器时，一些默认配置的PHP版本存在路径泄漏的漏洞。
如果PHP包含文件使用相对目录，可能引起包含引用失败。在PHP文件尾部添加斜杠\’\’/\’\’，然后提交请求，将返回错误信息和包含文件的完整路径。
\’\’Require\’\’引用一样存在这个问题。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 修改php.ini文件，设置：

display_errors = Off

使脚本的错误信息保存到日志文件，而不直接输出到浏览器。
厂商补丁：
PHP
—
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.php.net” target=”_blank”>
http://www.php.net

来源: BUGTRAQ
名称: 20020207 Advisory #3 – PHP & JSP
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101318944130790&w=2

来源: XF
名称: php-slash-path-information(8122)
链接:http://www.iss.net/security_center/static/8122.php

来源: BID
名称: 4063
链接:http://www.securityfocus.com/bid/4063