新闻: PHP 4.1.2 Windows (Win32)
发布者: w4z004 2002/3/13 15:57:02 5992 阅读(新闻文章来自 php.net)
由于 Windows 可执行文件存在问题,任何用户都可以直接从 PHP 可执行文件读取或执行文件内容,我们延迟了 PHP for Windows 的 4.1.2 版本发布以修复此问题。此版本还修复了文件上传安全问题。
随着这一新版本的发布,我们引入了 2 个新的 php.ini 设置,必须设置这些设置才能使二进制文件正常运行。需要注意的是,这个特定的修复仅适用于 CGI 二进制文件。SAPI 模块将按预期工作,并鼓励使用。
新设置是
cgi.force_redirect 0|1
cgi.redirect_status_env ENV_VAR_NAME
受此漏洞影响的服务器
已知 Apache(任何版本)和 iPlanet 服务器的版本都易受此问题的攻击,而 Microsoft IIS 却没有。由于 cgi.force_redirect 的值为 1 或 0(开启或关闭),如果您正在运行 Apache 或 iPlanet 服务器,应将其设置为 1,对于 IIS 应设置为 0。如果您不确定需要哪个,则设置为 1 并检查您的脚本是是否执行。您需要停止并重新启动服务器,以便 PHP.ini 文件中的更改生效。
如果 cgi.force_redirect 已启用,并且您不是在 Apache 或 Netscape(iPlanet)Web 服务器上运行,您可能需要设置一个环境变量名称,PHP 将查找以确定是否可以继续执行。设置此变量可能会引起安全问题,所以首先检查一下您正在做的事情。
有关导致 4.1.2 版本最初发布的相关表单上传攻击的更多信息可以在此处找到。
下载
PHP 4.1.2 zip 包 [5,824Kb] - 2002 年 3 月 12 日
(包含安全修复的 CGI 二进制文件以及适用于 Apache、AOLserver、ISAPI 和 NSAPI 的服务器 API 版本。内置 MySQL 支持,包括许多扩展,打包为 zip 文件)
PHP 4.1.2 安装程序 [920Kb] - 2002 年 3 月 12 日
(仅包含修复后的 CGI,内置 MySQL 支持,Windows 安装程序打包,用于安装和配置 PHP,并自动配置 IIS、PWS 和 Xitami,对于其他服务器提供手动配置。请注意,不包含外部扩展)
