共有鯖＋PHP（モジュール版）＝セキュリティホール

[0001 nobodyさん 2006/03/14(火) 21:35:19 ID:H696ylxy]

suEXECの効果なく
同じ鯖使っているほかのユーザーから
ウェブサーバー経由でファイル見放題。

他のユーザーのPHPアプリにセキュリティホールがあったら、
誰もが見放題。巻き添えくらう。かも。

CGI版PHPを使おうにも、既存のアプリが動くとは限らない。
どうすればいい？

[0002 nobodyさん 2006/03/14(火) 21:58:03 ID:???]

膝を抱えて泣く

[0003 nobodyさん 2006/03/14(火) 22:06:16 ID:???]

>>1の肛門もセキュリティホールです＞＜

[0004 nobodyさん 2006/03/15(水) 00:45:00 ID:???]

open_basedir が適切に設定されてかつセーフモードであればいいんでないの？

[0005 nobodyさん 2006/03/15(水) 12:03:57 ID:???]

XREA使ってるけど覗けない
Perl使っても見られない
つまりちゃんと管理してあれば大丈夫ということか

[0006 nobodyさん 2006/03/15(水) 13:09:43 ID:???]

XREAはSuEXECでPHPはセーフモードだよな確か。

[0007 nobodyさん 2006/03/16(木) 02:01:48 ID:???]

apache権限で動くプログラムがPHPのみかつsafeモードが設定されており
パーミッションが適切なら覗かれる危険性は低くなる。
但しapacheの設定次第ではmod_phpから所有者apacheのファイルを作成し（例えばperlスクリプト等）
実行することでapacheとスクリプトの権限が同一になりsuexecが働かず覗き見れる可能性がある。
もちろんPHP同士でないのでセーフモードは意味を成さない。
結局BIG_SECURITY_HOLEを有効にし各ユーザーへsetuidするしか根本的な解決にはならないと思う。