Maksymilian Arciemowicz has discovered a weakness in PHP, which can be exploited by malicious, local users to bypass certain security restrictions. Maksymilian Arciemowicz ha scoperto una debolezza in PHP, che possono essere sfruttate da malintenzionati, agli utenti locali di bypassare alcune restrizioni di sicurezza. This could have a major impact in shared hosting systems. Ciò potrebbe avere un notevole impatto in sistemi di hosting condiviso.

The weakness is caused due to an input validation error in the PHP error_log() function in the processing of the destination parameter. La debolezza è dovuta a causa di un errore di convalida input in PHP error_log () in funzione della trasformazione della destinazione parametro. It can be exploited to bypass the safe mode protection via directory traversal attacks in the “php://” wrapper. Può essere sfruttato per bypassare le modalità di protezione tramite attacchi directory trasversale nel "php: / /" wrapper.

The weakness has been confirmed in version 5.1.4 and has also been reported in version 4.4.2. La debolezza è stata confermata nella versione 5.1.4 ed è stata riportata anche in versione 4.4.2. Other versions may also be affected. Altre versioni possono anche essere colpiti.

Solution: Soluzione:
Disable the error_log function via the disable_functions directive if the safe mode protection is required. Error_log disattivare la funzione tramite il disable_functions direttiva se la modalità di protezione è obbligatorio. This may impact functionality. Questa funzionalità può incidere. All software vendors (including open source developers) should audit their source. Tutti i fornitori di software (tra cui gli sviluppatori open source) dovrebbe revisione contabile la loro fonte.
via Secunia