Kietu hit.php远程文件包含漏洞发布时间:2003-02-23 更新时间:2003-02-23 严重程度:高 威胁程度:普通用户访问权限 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:6863 受影响系统 Kietu Kietu 2.0详细描述 Kietu允许远程用户指定一个配置文件的路径。远程入侵者可以利用此漏洞使脚本包含远程服务器上的一个恶意PHP脚本,从而导致以Web进程的权限在服务器上执行任意命令。 解决方案 厂商还未提供解决方案,临时解决方法是修改PHP的配置文件php.ini,关闭allow_url_fopen选项。 Frog Man在如下网页提供了一个非官方的补丁: http://www.phpsecure.org 相关信息 Frog Man <leseulfrog@hotmail.com> 5 holes, Part 8 http://www.frog-man.org/tutos/5holes8.txt |
