Questo sito contribuisce alla audience di

03/03/2002 Problema di sicurezza sulle versioni 3.x e 4.x

E' stato trovato un problema relativo alla sicurezza che affligge tutte le versioni del PHP (3.x alla 4.x incluse).

Un problema relativo al modo in cui e’ stata implementata la possibilita’ di uploadare file col POST, attraverso il protocollo indicato nella RFC1867 (multipart/form-data POST), permette ad un utente malizioso di far eseguire codice arbitrario. Questo problema, che ha messo alla luce numerose falle nella funzione php_mime_split, esiste in tutte le versioni del PHP, ad eccezzione della 4.2 (che e’ in sviluppo) perche’ in questa versione l’implementazione dell’RFC e’ stata riscritta da zero.

Sul sito del PHP e’ possibile scaricare sia l’ultima versione 4.1.2 che non ha questo problema, e sia le patch per riparare le versione 3.x e 4.x.

Se si sta eseguendo PHP 4.0.3 e’ possibile aggirare temporaneamente questo problema disabilitando il supporto per l’upload di file modificando il file PHP.INI e impostando: file_uploads=off

Le categorie della guida