[php] Insecurity News

[Cyrill Schumacher]

Hi,

naja vielleicht auch schon wieder ein alter Hut,
aber laut Linux Magazin 03/2001 auf Seite 16
steht:

Durch einen Fehler im PHP Paket (was auch immer das sein mag)
ist es möglich dass ein Angreifer Zugriff auf geschützte Infos
bekommt. Dabei werden die Zugriffkontrollen die mit .htaccess
abgesichert sind umgangen. Durch einen entsprechenden Request
kann man PHP dazu bewegen eine neue Seite mit denselben
Zugriffsrechten wie die vorherige aufzurufen.
[Wie lautet der Request ???]

Und ganz wichtig: Nach dem ASP "bug - ::$DATA" kann man auch
bei PHP den Source Code von jeder beliebigen PHP Seite
aus jedem Winkel der Erde sich anschauen.
Betroffen sind davon php 4.0.0 bis 4.0.4.
Any Idea wegen dem Syntax ???

Haben uns da die Jungs von Zend betrogen ???

kiri

PS: mal schauen was der c-source code von php sagt...