PHP-CGI – Une faille de sécurité qui permet de voir le code source des pages PHP

PHP-CGI – Une faille de sécurité qui permet de voir le code source des pages PHP

[Vous devez être inscrit et connecté pour voir cette image]

Une
importante faille de sécurité vient d'être découverte dans PHP lorsque
celui-ci est utilisé en mode CGI (sous apache: mod_cgid). Il suffit de
lui passer des paramètres dans l'URL pour que le PHP CGI les interprète.
Par exemple, le paramètre -s permet de voir le code source d'une
page... Voici un exemple d'exploitation (en local hein ^^) :

[Vous devez être inscrit et connecté pour voir ce lien]

Et
c'est la source qui apparaitra sous vos yeux ébahis ! Il devient alors
possible pour un affreux vilain de récupérer des mots de passe de base
de données ou autres, stockés dans des fichiers de config PHP, de lancer
des dénis de service, voire même d’exécuter n'importe quel fichier sur
le serveur.
Et le truc rigolo, c'est que pour le moment, il n'y a pas encore de correctif disponible. Ah si c'est bon ! Bref, gaffe à vous si vous utilisez PHP-CGI. Pour ceux qui veulent en savoir plus, l'adviso est là.
Source et photo

Source : Korben

» Une faille dans iOS qui permet de spoofer des SMS [+tool] by Korben
» La faille qui vous permet d'annuler vos PV ! Par Emma.Laurent
» Une faille sous iOS et OSX qui permet de choper vos mots de passe !!! by Korben
» Sécurité : une faille trompe l’UAC de Windows
» Google publie le code source d'Android 4.0