system, exec, popen: Sicherheitsrisiko

Bash, Shell, PHP, Python, Perl, CGI
markusk
Posts: 140
Joined: 2003-05-04 20:14

system, exec, popen: Sicherheitsrisiko

Post by markusk » 2005-03-28 00:10

Hallo zusammen!

Jeder weiß ja, dass system(), exec(), popen() und wie sie alle heißen auf einem Kundenserver Sicherheitsrisiken mit sich bringen. Lässt es sich nun - ohne sudo und Ã?hnlichem - trotzdem irgendwie machen, dass ein Kunde Mails direkt über ini_get('sendmail_path') versenden kann? Dazu wäre ja nämlich ein popen nötig. Dieser Befehl allein stellt ja kein Sicherheitsrisiko dar und kann meines Wissens auch nicht missbraucht werden.

Ist dies also irgendwie machbar, dass sendmail benutzt, aber sonst kein Script ausgeführt werden kann?

Vielen Dank für Eure Tipps!

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: system, exec, popen: Sicherheitsrisiko

Post by Joe User » 2005-03-28 10:51

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

markusk
Posts: 140
Joined: 2003-05-04 20:14

Re: system, exec, popen: Sicherheitsrisiko

Post by markusk » 2005-03-28 10:54

Danke :)
Aber mein Problem ist halt, dass mail() schon sehr lange braucht, und eine direkte Kommunikation mit sendmail beschleunigt den Mailsversand bei vielen Mails schon erheblich. Deswegen hat es schon seinen Grund, weshalb ich nicht direkt auf mail() zurückgreifen wollte :)