-- Leo's gemini proxy

-- Connecting to seydaneen.nahtgards.de:1965...

-- Connected

-- Sending request

-- Meta line: 20 text/gemini

JAGS-PHP security fix


English


I fixed a reverse path search bug via ".__." in JAGS. Now it checks if the requested file lays in the served root folder via realpath() instead of just dump replacing "__" and ".." via str_replace.

Thanks goes to Tyler Spivey (@tspivey:matrix.org via Matrix) for pointing me on this one.


Deutsch


Ein kleiner Bug, der dazu geführt hat, dass man mittels ".__." den Dateien außerhalb des Serverroots aufrufen konnte musste gefixt werden.

Man sollte immer "realpath()" anstelle von str_replace() verwenden, damit man nicht den Verzeichnisbaum hochtesten kann...

Danke fürs drauf aufmerksam machen Tyler Spivey (@tspivey:matrix.org via Matrix).


JAGS-PHP Gemini Server

^-> Github Repository


---

zurück (back)

-- Response ended

-- Page fetched on Sun May 19 15:46:37 2024