PHP の expose_php 情報の漏洩

medium Nessus プラグイン ID 46803

Language:

概要

リモートホストの PHP の構成により、機密情報を漏洩できます。

説明

リモートサーバーにインストールされている PHP は、機密情報を、特殊な URL を介して攻撃者に漏洩することが可能な方法で、構成されています。このような URL により、PHP 自体に構築されているイースターエッグがトリガされます。

このようなイースターエッグが他にも存在する可能性がありますが、Nessus ではそれらは確認されていません。

ソリューション

この動作を無効にするには、PHP の構成ファイル php.ini で「expose_php」の値を「オフ」に設定してください。この変更を有効にするには、Web サーバーデーモンを再起動してください。

参考資料

https://www.0php.com/php_easter_egg.php

https://seclists.org/webappsec/2004/q4/324

プラグインの詳細

深刻度: Medium

ID: 46803

ファイル名: php_expose_php.nasl

バージョン: 1.8

タイプ: remote

ファミリー: Web Servers

公開日: 2010/6/3

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

脆弱性情報

CPE: cpe:/a:php:php

必要な KB アイテム: www/PHP

除外される KB アイテム: Settings/disable_cgi_scanning

Nessus によりエクスプロイト済み: true

脆弱性公開日: 2004/11/28