Apache mit mod_php übernehmen

Dienstag, 8. April 2008

Ich konnte meinen Augen kaum trauen, wie ich diesen Bug-Report auf php.net las. Eigentlich hatte ich ja nach etwas komplett anderem im Internet gesucht, aber das musste ich dann doch gleich mal ausprobieren.

Da wir schon lange kein mod_php mehr einsetzen musste ich mir am Wochenende erst einmal einen solchen Webserver auf einer virtualiseren Maschine (dazu ggf. auch bald mehr) installieren - ich nahm hierzu den Standard-Apache von openSuSE 10.3, der mit mod_php 5.2.4 kommt, und schrieb ein dem Bug-Report entsprechendes Programm in C, das ich lokal statisch kompilierte und "wie ein normaler Webhosting-Kunde" per FTP hochlud.

Und tatsächlich: Sobald ich das Programm mittels system() über einen PHP-Skript aufrief, dauerte es keine ganze Sekunde bevor sich das Programm des Port 80 bemächtigt hatte und fortan selbst dort Anfragen beantwortete. Apache lief parallel weiter, tat aber gar nichts mehr und lies sich auch nur noch schwer beenden, wobei ein Neustart ohne Beenden meines kleinen C-Programmes natürlich gar nicht möglich war.

Mich würde gerade mal interessieren, ob unsere Marktbegleiter sich dieses Problemes bewusst sind bzw. wie sie damit umgehen. Selbst ausprobieren kommt natürlich nicht in Frage, da das schon ein recht massiver Eingriff in den Betrieb ist. Ein wenig schade finde ich ja auch, wie das Problem als "nicht-PHP-Problem" im Bug-Report abgetan wird - meines erachtens nach ist und bleibt es ein PHP-Problem und sollte dementsprechend auch behandelt werden.

Abgesehen davon, dass wir PHP via FastCGI ausführen, erlauben wir auch kein system() o.ä., da man damit recht leicht solch Begrenzugn wie PHP's open_basedir umgehen kann. Ich finde ja das sollte jeder so machen

Geschrieben von Bernd Holzmüller in Technik um 16:50 | Kommentare (9) | Trackbacks (0)

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

Darf ich mal kurz den grammar nazi spielen? "sich bemächtigen" steht mit Genitiv -- also "des Ports 80".

#1 G.N. am 08.04.2008 22:32 (Antwort)

Ich zeige mich einsichtig

Danke dafür

#1.1 Bernd Holzmüller (Homepage) am 09.04.2008 00:22 (Antwort)

Hm - ich seh das ganze nicht als so tragisch an einfach weil diese Konstellation kaum vorkommen wird (wenn ich das jetzt nicht falsch verstanden habe)

1.) System(...) und Co sind generell böse. Aufrufen von externen Programmen sollte man genauso wie eval(...) generell vermeiden

2.) Wenn ich das richtig verstanden habe kann man seinen eigenen Apache mit nem entsprechenden Programm übernehmen - so what?!

Wie gesagt wenn ich da was falsch verstanden habt - berichtigt mich bitte, denn ich bin immernoch der Überzeugung dass PHP5+ an sich nicht schlecht ist wenn man es richtig benutzt.

Es macht es einem aber extrem leicht groben Bullshit anzustellen.

#2 kenny (Homepage) am 09.04.2008 08:16 (Antwort)

#2 trifft eben so nicht so. Sobald das "böse" system() (oder etwas entsprechendes) - und da gibt es schon ein paar Provider, die das zulassen - nutzbar ist, kann **irgendjemand**, der Zugriff per FTP hat, diese Maschine übernehmen.
Dabei muss es noch nichtmals ein FTP-Zugang sein - ein Remote Code Inclusion-Bug in einer X-beliebigen PHP-Anwendung reicht da schon vollkommen aus.

#2.1 Bernd Holzmüller (Homepage) am 09.04.2008 08:40 (Antwort)

Interessant wäre jetzt mal zu testen, wie das bei den CGI-Versionen aussieht und ob es z.B. hilft, wenn man das document_root als noexec mountet.

Abgesehen davon, dass system() und Co. natürlich böse sind.

#3 Balu (Homepage) am 09.04.2008 11:06 (Antwort)

Ich denke mal harmlos. CGI als solches habe ich nicht getestet, wohlgemerkt aber natürlich FastCGI.

Beide Prozesse werden vermutlich über apr_proc_create() (im Falle von FastCGI/mod_fcgid weiß ich es) erstellt und erhalten dementsprechend "bereinigte" Datei-Diskreptoren.

Ähnliches steht auch im Bug-Report

#3.1 Bernd Holzmüller (Homepage) am 09.04.2008 11:25 (Antwort)

Ich sag nur, "WOW".
Nicht wegen des Problemes an sich (das aber auch schon heftig ist) sondern vor allem weil es noch immer besteht.

Und wenn sogar ich nach Anleitung das ganze Reproduzieren kann.... was wird dann erst Jemand schaffen der zB eine Sicherheitslücke in phpBB oder WBB ausnutzt ? (von denen es ja etliche gibt), und der AHNUNG von Programmieren hat ?

Aber anscheinend besteht ja kein Interesse daran das zu fixen.
Das ist ja bei einigen Bugs so, ich erinner nur an die "Month of PHP Bugs" Aktion von dings ähm.... sein Name ist mir entfallen... Helft mir, ihr kennt ihn doch alle

Mein jetziger Hoster hat schon lange von mod_php auf CGI umgestellt (bei Neukunden), das aber eigentlich nur weil soviele Leute es nicht gebacken bekommen ihr PHP Gedöns Safemode kompatibel zu machen.

#4 Andy (Homepage) am 12.04.2008 12:57 (Antwort)

> ähm.... sein Name ist mir entfallen... Helft mir, ihr kennt ihn doch alle

Stefan Esser

#4.1 Anonymous Coward am 12.04.2008 14:29 (Antwort)

Unable to connect to SQL server.

#5 HüstelPrust am 15.04.2008 20:45 (Antwort)

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen: BBCode-Formatierung erlaubt
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen