Les personnes de Zend ont découvert une faille de
sécurité dans les anciennes versions de PHP4 (l'annonce originale parle de
4.0.4 alors que les bogues sont présents dans 4.0.3 aussi). Il est possible de
spécifier des commandes PHP pour chaque répertoire qui permet à un attaquant
distant en modifiant une requête HTTP de passer de mauvaises valeurs à ces
commandes pour la page suivante. Même si PHP est installé, on peut l'activer
pour chaque répertoire ou hôte virtuel en utilisant la commande
engine=on ou engine=off. Ce paramètre peut être modifié pour
d'autres hôtes virtuels de la même machine. En fait, en désactivant PHP, le
client reçoit le source PHP au lieu d'être interprété par le
serveur.
