<br><font size=2 face="sans-serif">Rule: WEB-CGI php.cgi access</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Sid: 824</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Summary: A remote user has tried access
the php.cgi script. Some versions of this script can allow access to any
file the</font>
<br><font size=2 face="sans-serif">server can read.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Impact: Medium</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Detailed Information: Because of a design
problem in this version of PHP/FI, remote users are able to access any
file that the UID of the http</font>
<br><font size=2 face="sans-serif">process has access to. The exploit is
simple (http://somewebserver/php.cgi?/path/to/desired/file) and can be
used with malicious intent.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Affected Systems: PHP/FI 2.0</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Attack Scenarios: An attacker can simply
pass a file name to the script and be able to view the file if the web
server has access</font>
<br><font size=2 face="sans-serif">to it. This can be used to obtain passwords
or other sensitive information.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Ease of Attack: Trivial</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">False Positives: None Known</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">False Negatives: None Known</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Corrective Action: Upgrade or remove
the file php.cgix</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Contributors: Original rule writer unknown.</font>
<br><font size=2 face="sans-serif">         
    Josh Sakofsky</font>
<br><font size=2 face="sans-serif">-- </font>
<br><font size=2 face="sans-serif">Additional References: http://www.whitehats.com/info/IDS232</font>
<br><font size=2 face="sans-serif">         
             http://www.securityfocus.com/bid/2250</font>
<br><font size=2 face="sans-serif">         
             http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-0238</font>