Announcement-ID: PMASA-2005-2
Date: 2005-02-26
Сводка: Path disclosure (раскрытие местонахождения файла)
Описание:
Вызывая некоторые скрипты, являющиеся частью phpMyAdmin (особенно это касается скриптов в поддиректории libraries) несанкционированным способом, можно добиться, чтобы phpMyAdmin показал сообщение об ошибке PHP, содержащее полный путь к директории, где установлен phpMyAdmin.
Серьезность:
Команда разработчиков полагает, что данная уязвимость несерьезная (см. Смягчающий фактор).
Затронутые версии:
Вероятно, все версии phpMyAdmin.
Смягчающий фактор:
Отображение пути к директории возможно лишь на серверах, где значение PHP конфигурационной директивы display_errors установлено как `on`, вопреки рекомендациям, которые даются в руководстве PHP.
Решение:
Следуйте рекомендациям мануала PHP. Заметьте, что возможно применить PHP конфигурационную директиву к конкретной директории (см. Ссылки).
Ссылки:
О директиве display_errors: http://www.php.net/manual/en/ref.errorfunc.php
Как применить директиву к конкретной директории: http://www.php.net/manual/en/configuration.changes.php