On Wed, 14 Aug 2002, Arief Yudhawarman wrote:
# Saya baru tahu kalau konfigurasi squirrelmail (sampai versi 1.2.6)
# mewajibkan 'register_global' diset 'On' pd php.ini. Padahal ini
# menyebabkan hole pd script php. Pada README-nya tidak disebutkan
# cara menutup lubang yg terbuka sebagai akibat di atas. Yang saya
# lakukan adalah menset:
# safe_mode = On
# display_errors = Off
#
# Yg pertama menyebabkan script php tidak akan menjalankan include file
# yg uid-nya tidak sama dg script tsb. Yg kedua menyebabkan php tdk
# menampilkan tampilan error/warning.
#
# Coba-coba yg saya lakukan menyebabkan server denial_of_service,
# soalnya file error /var/log/httpd/error_log memakan habis partisi /var
# alias partisi /var terisi 100% !
#
# Mungkin ada rekan-rekan yg bisa membantu untuk membuat squirrelmail
# lebih aman ?
kenapa ngga upgrade ke versi yang terbaru ? (1.3.0)
setting register_global tidak menyebabkan vuln di scriptnya, itu yg salah
programmingnya.
penggunaan include() harus di lakukan secara safe agar tidak fatal
kalo hit terlalu tinggi (dengan {D}DoS) apalagi kalo dari local network
memang akan membuat file system menjadi besar, bukan hanya apache, MTA,
program lain pun akan spt itu, yang bisa di lakukan adalah auditing,
pengechekan file system dalam kurun waktu tertentu.
Cheers, Indra Kusuma
--
,''`. How (Debian GNU/)Linux Are You ? http://{Indra,Debian}.Kusuma.OR.ID
: :' : How IPv6 Are You ? ....................... http://IPv6.Debian.OR.ID
`. `' 1024D/4D829E49 .. 187D 8C98 FB76 E1A8 5558 853A 4795 4FC1 4D82 9E49
`-
---------------------------------------------------------------------
Jumlah pelanggan (updated daily): 220
Untuk berhenti berlangganan, kirim email ke: [EMAIL PROTECTED]
Arsip milis, raw: http://klas.regex.com/archive/
Arsip milis, hyperlink: http://klas.regex.com/arsipmilis/arsip/
