RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

PHP Einstellungen eines S4F Server

https://www.rootforum.org/forum/viewtopic.php?t=17848

Page 1 of 1

PHP Einstellungen eines S4F Server

Posted: 2003-10-10 22:34
by luke
Hallo,

ich habe gerade feststellen müssen, dass der safe_mode von PHP bei mir in der Standardeinstellung auf "off" steht. Daher ist es PHP möglich Systemdateien auszulesen. Diese Einstellung war bei mir sowolhl in der php.ini als auch in der httpd.conf aktiv. Mich würde einmal interessieren ob das auch auf anderen S4F Servern der Fall ist, daher hier mal der PHP-Code zum testen:

Code: Select all

<?php

echo "<h1>Prüfe ob safe_mode aktiviert ist</h1><hr>";
exec("cat /etc/passwd", $return);
$nr=0;
while ($return[$nr])
 {
  echo "$return[$nr]<br>";
  $nr++;
 }
echo "<br><br><h1>Prüfe ob Systemdateien beliebig ausgelesen werden können</h1><hr>";
$fopen=fopen("/etc/passwd", "r");
$fread=fread($fopen,10000);
fclose ($fopen);
echo "<pre>$fread</pre";

# Quelle: "Der eigene Webserver" von Michael Hilscher

?>
Jeder der einen Server mit Apache/PHP besitzt und nicht alleinig auf den Server Zugriff hat sollte das Beispiel mal in einen PHP-fähigen Webspace setzen und im Browser aufrufen. Wenn dort (in diesem Testfalle speziell im safe_mode Testteil) die /etc/passwd ausgegeben wird sollte man an seinen Systemeinstellungen dringend etwas ändern. Man kann dieses Beispiel nämlich auch mit der /usr/local/confixx/confixx_main.conf bzw. /root/confixx/confixx_main.conf ausführen, dort steht dann z.B. das Passwort für den MySQL Benutzer Confixx.

Ich bin mal gespannt ob das nur auf meinem Server funktioiert oder ob davon die ganzen anderen S4F Server betroffen sind.


So far!
#
Luke

Re: PHP Einstellungen eines S4F Server

Posted: 2003-10-11 19:09
by cybersmog
Ich habe das Skript zwar nicht getestet, aber diese Zeile ist afaik falsch:

Code: Select all

$fopen=$fopen("/etc/passwd", "r");
Richtiger wäre:

Code: Select all

$fopen = fopen("/etc/passwd", "r");

Re: PHP Einstellungen eines S4F Server

Posted: 2003-10-11 22:18
by luke
Du hast natürlich vollkommen recht, kleiner Tippfehler von mir, danke.

Es kam mir zwar nicht auf diesen Teil des Codes an, aber zum testen ist der auch ganz gut.


So far!
#
Lukas

Re: PHP Einstellungen eines S4F Server

Posted: 2003-10-12 01:07
by oxygen
Wenn Confixx installiert ist, ist es doch kein Problem. Confixx setzt für jeden VHost open_basedir und safe_mode... ob der Safemode nun in der php.ini aktiviert ist (oder nicht), spielt da keine Rolle.

Re: PHP Einstellungen eines S4F Server

Posted: 2003-10-12 10:27
by luke
øxygen wrote:Wenn Confixx installiert ist, ist es doch kein Problem. Confixx setzt für jeden VHost open_basedir und safe_mode... ob der Safemode nun in der php.ini aktiviert ist (oder nicht), spielt da keine Rolle.
Ich weiß, in der confixx_vhosts.conf steht safe mode auf on, allerdings steht in der /etc/httpd/httpd.conf _nach_ dem Confixx Include nochmal safe_mode off. Diese Einstellung scheint die Einstellung von Confixx zu überschreiben.


So far!
#
Luke

Re: PHP Einstellungen eines S4F Server

Posted: 2003-10-12 12:48
by Joe User
luke wrote:Ich weiß, in der confixx_vhosts.conf steht safe mode auf on, allerdings steht in der /etc/httpd/httpd.conf _nach_ dem Confixx Include nochmal safe_mode off. Diese Einstellung scheint die Einstellung von Confixx zu überschreiben.
und warum kommentierst/löscht Du die Zeile nicht einfach?

Re: PHP Einstellungen eines S4F Server

Posted: 2003-10-12 13:09
by luke
Joe User wrote:
luke wrote:Ich weiß, in der confixx_vhosts.conf steht safe mode auf on, allerdings steht in der /etc/httpd/httpd.conf _nach_ dem Confixx Include nochmal safe_mode off. Diese Einstellung scheint die Einstellung von Confixx zu überschreiben.
und warum kommentierst/löscht Du die Zeile nicht einfach?
_Ich_ habe kein Problem mehr damit, ich habe den Fehler behoben, ich wollte nur andere darauf aufmerksam machen!


So far!
#
Lukas
All times are UTC+01:00
Page 1 of 1