[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: apache 1.3 vs /cgi-bin/php



Hallo,

Am Mittwoch, 1. November 2006 07:20 schrieb Florian (flobee):
> Hallo
>
> Es kursieren im web viele Kniffs und Trick um php als cgi einsetzten zu
> können und dessen Quelle oft auf dotdeb.org (ein php entwickler mit
> debian roots) zurück zu führen ist und wo folgendes zur Aktivierung des
> php-cgi's vorgeschlagen wird:
>
> vhost oder httpd.conf:
> -->--
> AddHandler php-script .php4
> Action php-script /cgi-bin/php4 # in: /usr/lib/cgi-bin/php
> --<--
> (ähnlich dem doc in .../share/doc/php4-cgi/README.Debian.gz)
>
> und das cgi läuft.
> Leider bin ich nun über etwas gestolpert was für mich ein
> sicherheitsrisiko darstellt und das scheinbar noch niemanden so wirklich
> bekannt oder klar ist:
> -->--
> exec('cat /etc/passwd');
> --<--

ehm. CGIs laufen als normale Programme.Wie jedes Programm haben sie lokale 
User-Rechte und kommen an /etc/passwd.
Nahezu jedes Linux Programm kann dies und das ist auch überhaupt gar kein 
Problem!
Wenn du cgis verschiedener Nutzer trennen willst schau dir suexec und chroot 
an.

Bis dene
Thorsten



Reply to: