Heute haben wir einige Sicherheitsupdates für Ubuntu 10.04 LTS installiert. Darunter war auch das PHP Update 5.3.2-1ubuntu4.6. Schade nur, dass diese Update einen Bug enthält der einen Fehler bei der open_basedir Direktive verursacht.

PHP Warning:  Unknown: open_basedir restriction in effect. File(/var/www/virtual/verzeichnisXY/index.php) is not within the allowed path(s): (/var/www/virtual/verzeichnisXY/:/var/www/virtual/verzeichnisXY/phptmp/:/usr/share/php/) in Unknown on line 0

Zum Glück war relativ klar, worum es sich handelt und da auch andere mit dem PHP Update von Ubuntu Probleme hatten, ließ sich ein Workaround für das open_basedir Problem finden. Besonders ärgerlich an dem PHP open_basedir-Bug ist dann auch noch, dass er in Debian bereits im November behoben wurde, wie ein Kommentator im Bug-Tracker feststellt.

Wenn man die php.ini bearbeitet und bei allen Verzeichnissen den slash am Ende entfernt, geht wieder alles. Allerdings ist das natürlich nicht die perfekte Lösung, alternativ könnte man auch die vorherigen Pakete wieder einspielen, die die Sicherheitslücken enthalten, aber dafür muss die php.ini nicht bearbeitet werden.

Das Entfernen des Slash sorgt für ein Problem, dass ein mögliches Sicherheitsrisiko darstellt und daher sollte möglichst bald nach dem der Bug im Update behoben wurde, dieser fehlende Slash wieder ergänzt werden. Zu Details über diese open_basedir-Sicherheitseinstellungen für PHP am besten im Manual nachlesen.