Maksymilian Arciemowicz a d�couvert une faiblesse dans le PHP, qui peut �tre exploit� par les utilisateurs malveillants et locaux pour d�vier certaines restrictions de s�curit�. Ceci a pu avoir un impact important dans les syst�mes h�tes partag�s.

La faiblesse est caus�e en raison d'une erreur de validation d'entr�e dans la fonction d'error_log de PHP () dans le traitement du param�tre de destination. Elle peut �tre exploit�e pour d�vier la protection de mode s�r par l'interm�diaire des attaques de traversal d'annuaire dans le ��PHP : /�� emballage.

La faiblesse a �t� confirm�e dans la version 5.1.4 et �galement rapport�e dans la version 4.4.2. D'autres versions peuvent �galement �tre affect�es.

Solution :
D�sactivez la fonction d'error_log par l'interm�diaire de la directive de disable_functions si la protection de mode s�r est exig�e. Ceci peut effectuer la fonctionnalit�. Tous les fournisseurs de logiciel (r�alisateurs y compris de source ouverte) devraient auditer leur source.
par l'interm�diaire de Secunia