PHP 5.2.3 PHP 4.4.7, htaccess safemode and open_basedir Bypass
http://securityreason.com/achievement_securityalert/45
.htaccess を許していると open_basedir をバイパス出来る脆弱性。
と言ってもパイパスできるのはセッションファイルとログファイルだそうなので大したこと無いな-と思ったら、.htaccess で disabled_functions の変更することが出来るらしい。これはちょっと怖いな。
#ドキュメントには disabled_functions は php.init でしか設定できないと書かれている。
Permanent Link: http://www.cuspy.org/blog/archives/470
Trackback URL: http://www.cuspy.org/blog/archives/470/trackback