PHP Sicherheits Lücke!!!!!

Ein hallo erstmal an alle!

Mit der function ini_restore kann man die einstellungen in der php.ini zurücksetzten (z.B. open_basedir und safe_mode )

Dann ist es möglich auf alle dateien des servers zuzugreifen und ggf. zu verändern oder zu löschen!

Für diese Lücke gibt es derzeit KEINEN fix! Deshalb am besten diese function in der php.ini unter disabled_functions eintragen

funktioniert das auch bei eingeschaltetem save-mode…?

[QUOTE=gollum]
Deshalb am besten diese function in der php.ini unter disabled_functions eintragen
[/QUOTE]

Wenn du mit PHP_ADMIN_VALUE bei apache sicherheitskritische einstellungen erzwingst. ( bitte nicht veralgemeinern … )

http://www.heise.de/newsticker/meldung/78010