我已经从 SLES 15 SP5 升级到 SLES 15 SP6。
每次 SP 升级都会给 Apache/PHP 带来问题。现在又出现了。
当前的问题是,当index.php未指定时,会下载文件。在 URL 中指定 PHP 脚本会执行 PHP 代码。
sub.foo.com/--> 下载index.php
sub.foo.com/index.php--> 正确执行index.php
index.php这意味着 Apache 和 PHP 可以正常工作,但是当未指定时,它不会以某种方式激活 PHP 处理程序。
Apache 日志文件中有这样的条目:
"GET / HTTP/1.1" 200 2537
httpd.conf有这个指令:
DirectoryIndex index.php index.html index.html.var
没有.htaccess文件。
升级之前一切都运行正常。升级后肯定修改了某些内容,从那时起我就遇到了这个问题。
PHP:8.3.9
阿帕奇:
Server version: Apache/2.4.58 (Linux/SUSE)
Server built: 2024-07-17 04:55:34.000000000 +0000
这是一个 Apache 错误: https://www.cve.org/CVERecord?id =CVE-2024-40725
描述
Apache HTTP Server 2.4.61 核心中针对 CVE-2024-39884 的部分修复忽略了对处理程序的某些基于旧内容类型的配置的使用。
AddType在某些间接请求文件的情况下,“ ”和类似配置会导致本地内容的源代码泄露。例如,PHP 脚本可能会被提供而不是被解释。建议用户升级到版本 2.4.62,该版本已修复此问题。我遇到了完全相同的问题。Chrome 一直在下载 index.php。Curl 和其他浏览器运行正常。安装 HTTPS 后,问题解决了