Liebe Liste, >> Naja. Ein normaler Nutzer, der �ber Port 80 >> kommt, kommt ja gar nicht an den Interpreter >> heran, weil der typischerweise *nicht* unter >> wwwroot liegt.
> Ich habe hier nicht den normalen Nutzer > simuliert sondern Indianer gespielt. D. h. > perl liegt bei mir auch nicht in der webroot: > [G4:~] cvoelker% which perl > /usr/bin/perl > Und der Apache laeuft als Nutzer www, welcher > wiederum einziges Mitglied der Gruppe www ist. Du hast da wohl in der ersten Verbl�ffung ein Problem gesehen, wo da wirklich keins ist. Es w�re f�r CGIs im Allgemeinen wohl doch eher fatal, wenn apache (selbst als nobody/nogroup) kein Perl als solches ausf�hren k�nnte, weil ../whatever/perl auf r-xr-xr-- steht. Problematisch sind doch eher alle Derivate von (Pseudocode) my $variabel_aus-form # m�glichst aus POST :-( system '$variabel_aus-form' # Hacker ruft rm -r system 'perl $variabel_aus-form' # Hacker codet es halt in Perl Mit freundlichen Gruessen, Martin Ebert -- http://www.klug-suchen.de/ http://www.bahnsuche.de/ http://www.wb-online.de/ -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------
