Re: Flaws i PHP??

From: Hack Kampbjørn (none@bsd-dk--hack.kampbjorn.com.lh.bsd-dk.dk)
Date: Tue 05 Mar 2002 - 12:47:57 CET

Next message: Tim Børresen: "Re: SV: [peter@makholm.net: Pæn fixed-width font?]"
Previous message: Jesper Louis Andersen: "Re: SV: [peter@makholm.net: Pæ fixed-width font?]"
In reply to: Mads: "Flaws i PHP??"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Tue, 05 Mar 2002 12:47:57 +0100
From: Hack Kampbjørn <none@bsd-dk--hack.kampbjorn.com.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: Flaws i PHP??

Mads wrote:
>
> Hej liste..
>
> Jeg laeste denne side
> http://security.e-matters.de/advisories/012002.html som handler om
> et par flaws i PHP.. Der tales om upgrade til 4.2.0 skulle sikre
> disse huller.

Som en der læser security advisories som denne, dagligt virker den ret
klar men det hjælper jo ikke hvis det sprog der bruges i dem er for
indeforstået til at alm. sysadmin kan læse dem.
Er vi kommet dertil hvor vi skal lære at skrive alm. engelsk?
>
> Anyway.. Er der overhovedet et problem hvis:
> - PHP er compilet som et modul i Apache.

Ja. Hvis file-upload funktionaliteten bliver kørt er systemet sårbar.
Det gør ingen forskel om det er en statisk compileret apache eller du
bruger DSO moduler.

> - Apache useren (nobody) har meget begraensede rettigheder.

Ja, en ondsinde angriber kan køre hvilken som helst kode (også det som
han selv uploader) på dit system. Normalt er den svære del at komme ind
i systemet og den "nemme" at eskalere til root.

Hvis du tillader i din firewall trafik startet fra din web-server (men
det gøre du nok ikke, det er jo kun en web-server det eneste der skal
tillades er trafik udefra til port 80 (med state)) så kan den bruges som
springhovet til at angribe resten af dine systemer.

Hvorfor køre apache som nobody og ikke som sin egen (rstricted) bruger?
Hvilken andre daemon køre som nobody, når (ikke hvis) der findes et hul
i dem så har man direkte adgang til din web-site med tilhørende password
is dine PHP scripts. Hvilken ekstra adgang/rettigheder har du givet
nobody så apache kan køre. World læse adgang til hele web-site med PHP
scripts. Skrive adgang til apaches logfiler.

>
> Hvis ja, vil det saa hjaelpe at opgradere Apache? og hvis ja -
> hvilken version af Apache modulet svarer til PHP 4.2.0?
>
> Jeg har kikket efter denne info paa Apache siderne og PHP siderne,
> men mener ikke at jeg kan finde svar paa netop dette, saa jeg haaber
> lidt paa nogen kloge ord.. :)
>
> Mads

-- Med venlig hilsen / Kind regards

Hack Kampbjørn

Next message: Tim Børresen: "Re: SV: [peter@makholm.net: Pæn fixed-width font?]"
Previous message: Jesper Louis Andersen: "Re: SV: [peter@makholm.net: Pæ fixed-width font?]"
In reply to: Mads: "Flaws i PHP??"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:19 CET