Hallo,
Am Mittwoch, 1. November 2006 07:20 schrieb Florian (flobee):
> Hallo
>
> Es kursieren im web viele Kniffs und Trick um php als cgi einsetzten zu
> können und dessen Quelle oft auf dotdeb.org (ein php entwickler mit
> debian roots) zurück zu führen ist und wo folgendes zur Aktivierung des
> php-cgi's vorgeschlagen wird:
>
> vhost oder httpd.conf:
> -->--
> AddHandler php-script .php4
> Action php-script /cgi-bin/php4 # in: /usr/lib/cgi-bin/php
> --<--
> (ähnlich dem doc in .../share/doc/php4-cgi/README.Debian.gz)
>
> und das cgi läuft.
> Leider bin ich nun über etwas gestolpert was für mich ein
> sicherheitsrisiko darstellt und das scheinbar noch niemanden so wirklich
> bekannt oder klar ist:
> -->--
> exec('cat /etc/passwd');
> --<--
ehm. CGIs laufen als normale Programme.Wie jedes Programm haben sie lokale
User-Rechte und kommen an /etc/passwd.
Nahezu jedes Linux Programm kann dies und das ist auch überhaupt gar kein
Problem!
Wenn du cgis verschiedener Nutzer trennen willst schau dir suexec und chroot
an.
Bis dene
Thorsten
