Apacheの「AddHandler」設定にご注意を | スラド セキュリティApacheでCGIやPHPスクリプトの実行などを行うために使用される設定ディレクティブ「AddHandler」には、セキュリティ上の懸念点があるという(ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない — Dマイナー志向)。 たとえばAddHanderで「.php」に対し「php5-script」を指定する場合、拡張子「.php」をPHPスクリプトとして実行させるよう指定しているように見えるが、実際には「aaa.php.html」など、ファイル内に「.php」という文字列が含まれているファイルすべてが対象になる。 これは、PHPスクリプトの実行が許可されているディレクトリ内にアップロードされたファイルを格納する、といったケースで問題になる。これ単体で脆弱性になるわけではないが、利用時には注意が必要だろう。
