Re: apache 1.3 vs /cgi-bin/php
Hallo,
Am Mittwoch, 1. November 2006 07:20 schrieb Florian (flobee):
> Hallo
>
> Es kursieren im web viele Kniffs und Trick um php als cgi einsetzten zu
> können und dessen Quelle oft auf dotdeb.org (ein php entwickler mit
> debian roots) zurück zu führen ist und wo folgendes zur Aktivierung des
> php-cgi's vorgeschlagen wird:
>
> vhost oder httpd.conf:
> -->--
> AddHandler php-script .php4
> Action php-script /cgi-bin/php4 # in: /usr/lib/cgi-bin/php
> --<--
> (ähnlich dem doc in .../share/doc/php4-cgi/README.Debian.gz)
>
> und das cgi läuft.
> Leider bin ich nun über etwas gestolpert was für mich ein
> sicherheitsrisiko darstellt und das scheinbar noch niemanden so wirklich
> bekannt oder klar ist:
> -->--
> exec('cat /etc/passwd');
> --<--
ehm. CGIs laufen als normale Programme.Wie jedes Programm haben sie lokale
User-Rechte und kommen an /etc/passwd.
Nahezu jedes Linux Programm kann dies und das ist auch überhaupt gar kein
Problem!
Wenn du cgis verschiedener Nutzer trennen willst schau dir suexec und chroot
an.
Bis dene
Thorsten
Reply to: