utok na apache
jan.martinu na post.cz
jan.martinu na post.cz
Pondělí Září 21 00:31:30 CEST 2009
DD,
Itk worker, ale kdyz v nem bude chyba, tak ma utocnik rovnou roota :-D
A i kdyz zakazete vsechny funkce na spousteni a dalsi neplechu, tak zde
http://www.suspekt.org/2009/08/12/state-of-the-art-post-exploitation-in-hardened-php-environments/
je popsan utok, ktery to obchazi. Vyvojari PHP jako vzdy na to kaslou :-(
Petr Stehlik napsal(a):
> Pavel Kankovsky píše v Ne 20. 09. 2009 v 21:36 +0200:
>
>> On Sun, 20 Sep 2009, Petr Stehlik wrote:
>>
>>
>>> ano, to útočník může vždycky, to je běžná chyba uživatele, že mu utečou
>>> hesla, ale ten útočník by pak neměl mít možnost měnit běžící procesy,
>>> IMHO.
>>>
>> Když necháte uživatele spouštět kód pod stejným uživatelem, jako běží
>> Apache
>>
>
> jaký je doporučený způsob pouštění PHP pod jiným uživatelem (v Debianu)?
> Četl jsem, že všechny dobré způsoby jsou příliš pomalé (ve smyslu
> snížení výkonu webového serveru).
>
> Petr
>
>
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
>
>
Další informace o konferenci Linux