Hai milisers ...
Saya baru tahu kalau konfigurasi squirrelmail (sampai versi 1.2.6)
mewajibkan 'register_global' diset 'On' pd php.ini. Padahal ini
menyebabkan hole pd script php. Pada README-nya tidak disebutkan
cara menutup lubang yg terbuka sebagai akibat di atas. Yang saya
lakukan adalah menset:
safe_mode = On
display_errors = Off
Yg pertama menyebabkan script php tidak akan menjalankan include file
yg uid-nya tidak sama dg script tsb. Yg kedua menyebabkan php tdk
menampilkan tampilan error/warning.
Coba-coba yg saya lakukan menyebabkan server denial_of_service,
soalnya file error /var/log/httpd/error_log memakan habis partisi /var
alias partisi /var terisi 100% !
Mungkin ada rekan-rekan yg bisa membantu untuk membuat squirrelmail
lebih aman ?
TIA
~yudi
---------------------------------------------------------------------
Jumlah pelanggan (updated daily): 220
Untuk berhenti berlangganan, kirim email ke: [EMAIL PROTECTED]
Arsip milis, raw: http://klas.regex.com/archive/
Arsip milis, hyperlink: http://klas.regex.com/arsipmilis/arsip/
