Re: [PUG] Apache/PHP - Sicherheit -> Checkt php.ini!

Thu, 30 Jan 2003 08:45:59 -0800 

Also: Ich bin vor ein paar Tagen auf ein kleines php-script
gestossen, dass es erlaubt, beliebige Kommandos �ber php ins
System abzusetzen �ber ein Mini-Shell-Web-Frontend.

Damit hab ich die letzten Tage ein wenig rumgespielt und fand es
schon recht erstaunlich, was damit geht.

Weil ich weiss, dass viele hier auf der Liste mit apache/php ihr
Geld verdienen, musste ich euch einfach warnend darauf hinweisen,
damit ihr nicht eines Tages im Regen steht, wenn die Daten eurer
Kunden kompromittiert sind.

Inwieweit das mit acl, u|gid l�sbar ist, weiss ich nicht.
Allerdings muss apache ja gewisse Rechte besitzen, um �berhaupt
seinen Job machen zu k�nnen... er darf zB alles in public_html
lesen, egal ob da Auth davor l�uft oder nicht, .htacces auch,
etcetc. also alles, wo apache reinschaun darf, auch wenn er
Anfragen darauf als web-server eigentlich nicht bedienen sollte.

Gestern, nach meiner Frage hier, hab ich dann noch herausgefunden,
dass der ganze Spuk ein Ende hat, wenn man in der 
php.ini:
    safe_mode = On 
setzt.
In der default-Konfiguration von MDK ist der Schalter aus (bei
Debian auch).

Die meisten Webseiten �ber apache/php-security beschreiben nur,
wie man php sicher macht, um das die eigenen Daten zu sch�tzen.
Die M�glichkeit eines Angriffs von innen, durch einen php-f�higen
account wird fast gar nicht gesehen. 
Wenn man nur einen einzigen account auf einem server hosted, ist
das logischerweise wieder relativ unkritisch, da das ganze nur
von inne funktioniert.

   
-Bj�rn
 
   http://www.php.net/manual/de/security.apache.php
   http://www.onlamp.com/pub/a/php/2001/03/29/php_admin.html

    

On Thu, Jan 30, 2003 at 04:55:39AM +0100, Bj�rn Pfeiffer wrote:
> Mal ne ganz dumme Frage:
> Wenn ein Benutzer beliebige Befehle mit den Rechten des apache
> auf einem Server ausf�hren darf... ist das sicherheitstechnisch
> gesehen bedenklich, katastrophal oder einfach nur egal?
> 
>     Bj�rn
> 
> ----------------------------------------------------------------------------
> PUG - Penguin User Group Wiesbaden - http://www.pug.org
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org

Antwort per Email an