July 25, 2007
Questo bug è presente nel codice che genera le pagine di errore. E’ molto importante applicare le patch relative alla sicurezza del nostro vhcs in modo da non trovarsi nella spiacevole condizione di avere il server hackerato.
Come viene reso noto nel forum ufficiale, l’exploit è possibile per la mancata presenza del codice “htmlspecialchars()”, pertanto qualora volessimo modificare le pagine standard di errore dovremmo sostituire il codice originale:
<?php print $_SERVER[’REDIRECT_URL’];?>
inserendo il codice:
<?php echo htmlspecialchars($_SERVER[’REDIRECT_URL’]);?>
Per applicare la patch sulle pagine di errore predefinite di base nell’installazione di vhcs, sostituire i files relativi alle pagine di errore in tutti i domini abilitati e per evitare di eseguire la procedura ogni volta che si abiliti un dominio nuovo, modificare il file:
/var/www/vhcs2/gui/errordocs/index.php
con il seguente: index.php
Leave a Reply