PHP 5.3.12 und PHP 5.4.2 schließen acht Jahre alte Lücke – nicht
Kommentare

Schon seit acht Jahren können auf CGI-basierten PHP-Servern Befehle über GET und HEAD übertragen werden. Genau genommen handelt es sich um das Apache-Modul mod_cgi, das „indexed queries“ GETs im Stil

Schon seit acht Jahren können auf CGI-basierten PHP-Servern Befehle über GET und HEAD übertragen werden. Genau genommen handelt es sich um das Apache-Modul mod_cgi, das „indexed queries“ GETs im Stil von ?-s durchlässt, und damit den PHP-Quellcode löschen kann.

Christopher Kunz merkt in seinem Blog an, dass dieser Fehler mit dem Patch auf PHP-Version 5.4.2 nicht behoben wird. Da der Fehler schon so uralt ist, hat das Release-Team ein Workaround für Besitzer alter Server mitgeliefert. Betroffene müssen daher auf das folgende Ausweichmanöver zurückgreifen indem sie folgende Zeilen zum Apache-Modul mod_rewrite hinzufügen:

RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+&#36 [NC]
RewriteRule ^(.*) $1? [L]

Damit wird die Bereinigung der URLs einfach händisch nachgepflegt.

Weitere Details zu dem Fehler und dem Patch findet Ihr auf PHP.net beziehungsweise auf der Spezifikations-Seite von CGI.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -