httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Martin Ebert <martin.eb...@wb-online.de>
Subject Re: OT: File Permissions für CGI?
Date Thu, 26 Feb 2004 22:13:53 GMT
Liebe Liste,

>> Naja. Ein normaler Nutzer, der über Port 80
>> kommt, kommt ja gar nicht an den Interpreter
>> heran, weil der typischerweise *nicht* unter
>> wwwroot liegt.

> Ich habe hier nicht den normalen Nutzer
> simuliert sondern Indianer gespielt. D. h.
> perl liegt bei mir auch nicht in der webroot:

> [G4:~] cvoelker% which perl
> /usr/bin/perl

> Und der Apache laeuft als Nutzer www, welcher
> wiederum einziges Mitglied der Gruppe www ist.

Du hast da wohl in der ersten Verblüffung ein Problem
gesehen, wo da wirklich keins ist.

Es wäre für CGIs im Allgemeinen wohl doch eher fatal,
wenn apache (selbst als nobody/nogroup) kein Perl
als solches ausführen könnte, weil
../whatever/perl auf r-xr-xr-- steht.

Problematisch sind doch eher alle Derivate von (Pseudocode)

my $variabel_aus-form            # möglichst aus POST   :-(
system '$variabel_aus-form'      # Hacker ruft rm -r
system 'perl $variabel_aus-form' # Hacker codet es halt in Perl

Mit freundlichen Gruessen, Martin Ebert
-- 
http://www.klug-suchen.de/
http://www.bahnsuche.de/
http://www.wb-online.de/


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message