Wer die Funktion html_entity_decode() mit Usereingaben ($_POST oder $_GET) nutzt sollte auf eine aktuellere Version >= 5.1.3-RC1 (CVS) updaten. In älteren Versionen befindet sich laut Full-Disclosure ein Memory-Leek, das es ermöglicht, Zugriff auf den PHP-Quelltext zu bekommen sowie eigenen PHP-Code auszuführen. Näheres im FD-Archiv (Mails von gestern und heute) oder auf BugTraq.
So far...
Matthias
Update: Die 4er Versionen scheinen auch alle betroffen zu sein. Hier gibt es anscheinend noch keine gefixte Version. Habe es gerade bei mir getestet und ich bekomme nicht das erwartete Ergebnis. Was ich bekomme kann ich nicht wirklich deuten, allerdings sind Teile des Quelltextes enthalten! |