Maksymilian Arciemowicz has discovered a weakness in PHP, which can be exploited by malicious, local users to bypass certain security restrictions. Maksymilian Arciemowicz обнаружила недостатки в PHP, которая может быть использована в злонамеренных, локальным пользователям обойти некоторые ограничения безопасности. This could have a major impact in shared hosting systems. Это может иметь серьезные последствия в общей хостинга систем.

The weakness is caused due to an input validation error in the PHP error_log() function in the processing of the destination parameter. Слабость возникает из-за ошибки проверки ввода в PHP error_log () функции в обработке назначения параметра. It can be exploited to bypass the safe mode protection via directory traversal attacks in the “php://” wrapper. Она может быть использована для обхода безопасный режим охраны через каталог traversal нападения в "php: / /" обертки.

The weakness has been confirmed in version 5.1.4 and has also been reported in version 4.4.2. Слабость была подтверждена в версии 5.1.4 и, кроме того, были сообщены в версии 4.4.2. Other versions may also be affected. Другие версии также могут быть затронуты.

Solution: Решение:
Disable the error_log function via the disable_functions directive if the safe mode protection is required. Отключите функцию error_log через директива disable_functions если безопасный режим защиты не требуется. This may impact functionality. Это может сказаться функциональности. All software vendors (including open source developers) should audit their source. Все поставщики программного обеспечения (в том числе с открытым исходным кодом разработчиков) должны проверки их источника.
via через Secunia