Apache mod_php全局变量信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201987 漏洞类型 未知
发布时间 2004-02-07 更新时间 2006-08-31
CVE编号 CVE-2004-0263 CNNVD-ID CNNVD-200411-079
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200411-079
|漏洞详情
Apachemod_php是用于解析PHP的Apache模块。Apachemod_php在部分设置的情况下存在问题,远程攻击者可以利用这个漏洞获得敏感信息。如果服务器配置文件"php.ini"设置"register_globals=on",及提交一个请求给虚拟主机(虚拟主机包含"php_admin_flagregister_globalsoff"设置),如果下一个请求通过相同apache子进程发送给其他的虚拟主机(此虚拟主机没有任何设置),那么服务器部分设置就会泄露。根据服务器和站点配置,攻击者可能获得全局变量信息,如MySQL密码等。
|参考资料

来源:XF
名称:php-virtualhost-info-disclosure(15072)
链接:http://xforce.iss.net/xforce/xfdb/15072
来源:BID
名称:9599
链接:http://www.securityfocus.com/bid/9599
来源:OSVDB
名称:3878
链接:http://www.osvdb.org/3878
来源:GENTOO
名称:GLSA-200402-01
链接:http://http://security.gentoo.org/glsa/glsa-200402-01.xml