Une importante vulnérabilité touchant PHP 5.3 et 5.4 en mode CGI vient d’être découverte. Loin d’être anodine, celle-ci permet via un simple paramètre d’afficher le code source de la page. Pour corriger la faille, il convient de mettre à jour PHP ou de prendre en considération le paramètre -s au travers d’une règle de réécriture d’URL (mod_rewrite).
http://www.example.com/index.php?-s
Rien à signaler pour les modules FastCGI, mod_suphp et que le couple nginx + php-fpm.
