phpAdsNew是用PHP开发的WEB站点Banner管理程序。
phpAdsNew存在一个安全漏洞,允许远程攻击者以Web Server进程所拥有的权限在系统上执行任意代码。
该程序使用了一个变量$phpAds_path,远程用户可以指定该变量的值,但是phpAdsNew未对用户输入进行适当的检查。通过精心构造URL请求,远程攻击者可以使受影响的phpAdsNew执行位于第三方主机上的任意PHP程序。
phpAdsNew phpAdsNew 2.0beta 6
临时解决方法:
Niels Leenheer ( <a href="mailto:niels@creatype.nl" target="_blank">niels@creatype.nl</a> ) 提供了如下的修补方法:
把config.inc.php文件中'don't change'标记下的代码换成如下的代码:
--
// Disable magic_quotes_runtime
set_magic_quotes_runtime(0);
$phpAds_path = '';
if (strlen(__FILE__) > strlen(basename(__FILE__)))
$phpAds_path=substr(__FILE__, 0, strlen(__FILE__) -
strlen(basename(__FILE__)) - 1);
// If this path doesn't work for you, customize it here like this
// $phpAds_path="/home/myname/www/phpAdsNew"; // Note: no trailing
backslash
if (empty($phpAds_path))
$phpAds_path = '.';
厂商补丁:
phpAdsNew
---------
目前厂商已经在新版的软件中修复了这个安全问题,请到厂商的主页下载:
phpAdsNew phpAdsNew 2.0beta 5:
phpAdsNew Upgrade 2 dev 09102001
<a href="http://sourceforge.net/project/showfiles.php?group_id=11386&release_id=56265" target="_blank">http://sourceforge.net/project/showfiles.php?group_id=11386&release_id=56265</a>
京公网安备 11010502034610号
暂无评论