On Thu, Jan 30, 2003 at 06:08:43PM +0100, Martin Schmitt wrote:
> * Bj�rn Pfeiffer wrote/schrieb:
>
> > Also: Ich bin vor ein paar Tagen auf ein kleines php-script
> > gestossen, dass es erlaubt, beliebige Kommandos �ber php ins
> > System abzusetzen �ber ein Mini-Shell-Web-Frontend.
> >
> > Damit hab ich die letzten Tage ein wenig rumgespielt und fand es
> > schon recht erstaunlich, was damit geht.
> >
> > Weil ich weiss, dass viele hier auf der Liste mit apache/php ihr
> > Geld verdienen, musste ich euch einfach warnend darauf hinweisen,
> > damit ihr nicht eines Tages im Regen steht, wenn die Daten eurer
> > Kunden kompromittiert sind.
>
> Wenn Dir das zu hei� ist, kuck Dir doch mal Webmin an. Da kannst Du
> Kommandos vordefinieren und auch sagen, unter welcher UID sie ausgef�hrt
> werden sollen.
Ich versteh nicht ganz... mir kann das eigentlich ziemlich egal
sein, solange ich nur auf meiner eigenen Kiste mit apache
rumspiele. ;)
Ich sage nur, sobald man web-accounts hosted f�r mehrere Leute,
denen man nicht 100% vertraut, ist da ein Sicherheitsloch, wenn
php nicht im safe_mode l�uft.
Das trifft nicht auf mich selbst zu, ich schreib das nur f�r
Leute, die es vielleicht betrifft, wie dich.
- Bj�rn
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
