phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] [securityfocus] PHP .htaccess vulnerability

Sascha Schumann sascha_(at)_schumann.cx
Tue, 23 Jan 2001 18:38:46 +0100 (CET)

Previous message: [php] [securityfocus] PHP .htaccess vulnerability
Next message: [php] [securityfocus] PHP .htaccess vulnerability
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

> Habe ich etwas nicht mitbekommen? Was genau ist da mit "custom crafted
> request" gemeint?

    Das Problem manifestiert sich dann,

    -   wenn ein Client hintereinander auf denselben Apache
        Prozeß zugreift
    -   wenn der erste Request auf einen VirtualHost(*) geht,
        der die PHP Engine explizit abgeschaltet hat
    -   wenn der zweite Request auf einen VirtualHost(*) geht,
        der die PHP Engine nicht explizit aktiviert hat
    -   wenn beide Requests den PHP Apache Handler angesprochen
        haben

    * oder ein Verzeichnis, das entsprechende Einstellungen per
      .htaccess vornimmt

    In diesem Fall *kann* (muß nicht) es dazu kommen, daß die
    PHP Engine beim zweiten Zugriff noch deaktiviert ist und
    Apache die "raw" Datei an den Client liefert.

    Für das Bugtraq Posting von Zeev siehe

    http://apachetoday.com/news_story.php3?ltsn=2001-01-15-001-06-NW-CY-PH

    - Sascha

Previous message: [php] [securityfocus] PHP .htaccess vulnerability
Next message: [php] [securityfocus] PHP .htaccess vulnerability
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive