5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

共有鯖+PHP(モジュール版)=セキュリティホール

1 :nobodyさん:2006/03/14(火) 21:35:19 ID:H696ylxy
suEXECの効果なく
同じ鯖使っているほかのユーザーから
ウェブサーバー経由でファイル見放題。

他のユーザーのPHPアプリにセキュリティホールがあったら、
誰もが見放題。巻き添えくらう。かも。

CGI版PHPを使おうにも、既存のアプリが動くとは限らない。
どうすればいい?

2 :nobodyさん:2006/03/14(火) 21:58:03 ID:???
膝を抱えて泣く

3 :nobodyさん:2006/03/14(火) 22:06:16 ID:???
>>1の肛門もセキュリティホールです><

4 :nobodyさん:2006/03/15(水) 00:45:00 ID:???
open_basedir が適切に設定されてかつセーフモードであればいいんでないの?

5 :nobodyさん:2006/03/15(水) 12:03:57 ID:???
XREA使ってるけど覗けない
Perl使っても見られない
つまりちゃんと管理してあれば大丈夫ということか

6 :nobodyさん:2006/03/15(水) 13:09:43 ID:???
XREAはSuEXECでPHPはセーフモードだよな確か。

7 :nobodyさん:2006/03/16(木) 02:01:48 ID:???
apache権限で動くプログラムがPHPのみかつsafeモードが設定されており
パーミッションが適切なら覗かれる危険性は低くなる。
但しapacheの設定次第ではmod_phpから所有者apacheのファイルを作成し(例えばperlスクリプト等)
実行することでapacheとスクリプトの権限が同一になりsuexecが働かず覗き見れる可能性がある。
もちろんPHP同士でないのでセーフモードは意味を成さない。
結局BIG_SECURITY_HOLEを有効にし各ユーザーへsetuidするしか根本的な解決にはならないと思う。

8 :nobodyさん:2006/03/17(金) 18:12:56 ID:???
>>7
suexecが有効ならばユーザディレクトリ内でapache権限のCGIスクリプトは
動作しないと思ふ。

9 :nobodyさん:2006/03/17(金) 19:34:31 ID:xIELPvy9
WADAXはsafeモードoffなんだけど?

10 :nobodyさん:2006/03/18(土) 09:06:11 ID:???
PHPのセーフモードを回避して非PHPなコードを実行できる方法はいくつか思いつく。
suphp使えというのが回答だな。

11 :nobodyさん:2006/03/20(月) 21:55:53 ID:???
>>8
よく考えたら確かにユーザーディレクトリではエラーになりますね。
suexecの範囲外の/tmp何かに生成すればいいのかな。

12 :nobodyさん:2006/03/20(月) 23:48:23 ID:???
>>11
そんなところに置いたってCGIとして実行出来ねー

13 :nobodyさん:2006/03/21(火) 01:08:06 ID:7Cpah6J6
いやね。だからね。サーバーがsafeモードoffなんだよ。


14 :nobodyさん:2006/03/23(木) 13:10:38 ID:???
XREAはSuEXECじゃなくてCGIWrap

SafeMode OFFといえばland.to

15 :nobodyさん:2006/03/24(金) 10:43:59 ID:???
初心社です。
そもそも、「nobody権限で動作」とか「Apache権限で動作」とか「SuExec」とかの
概念がよくわかりません。

ここらへん初心者でも理解できるように解説しているサイトありませんか?

16 :nobodyさん:2006/03/24(金) 18:19:56 ID:???
職場環境はどうですか。
初めはパーミッションで検索して基礎知識を学び
その後「uid owner」等で検索するといいと思います。
非常に失礼かとは存じますが多分貴方は挫折すると思います。

17 :nobodyさん:2006/04/02(日) 00:25:27 ID:???
>>15
つ 【Unixの基礎概念】 アスキー出版

4 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)