PT-2013-12: Обход директивы open_basedir в PHP Уязвимое ПОPHP Версия: 5.4.12/5.3.22 и более ранниеСсылка: http://php.net/Рейтинг опасностиУровень опасности: Высокий Воздействие: Обход ограничений безопасности Вектор атаки: УдаленныйCVSS v2: Base Score: 7.5 Vector: (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2013-1635Описание программыPHP является распространенным интерпретируемым языком общего назначения с открытым исходным кодом.Описание уязвимостиСпециалисты компании Positive Technologies обнаружили уязвимость "Обход ограничений безопасности" в PHP.Уязвимость обнаружена во встроенном классе SoapClient. PHP не проверяет значение директивы конфигурации "soap.wsdl_cache_dir" на соответствие директиве "open_basedir" перед записью кэш-файлов для временного хранения SOAP wsdl-документов, что дает злоумышленнику возможность загружать удаленные wsdl-документы в произвольные директории.РешениеУстановите последнюю версию приложения.Статус уведомления 07.02.2013 - Производителю отправлены детали уязвимости 14.03.2013 - Производитель выпустил исправление 19.03.2013 - Публикация уязвимости БлагодарностиУязвимость обнаружил Арсений Реутов (Исследовательcкий центр Positive Research компании Positive Technologies)Ссылкиhttp://www.securitylab.ru/lab/PT-2013-12Список отчетов о ранее обнаруженных уязвимостях Positive Research:http://www.ptsecurity.ru/lab/advisory/ http://www.securitylab.ru/lab/