Dienstag, 8. April 2008
Apache mit mod_php übernehmen
Ich konnte meinen Augen kaum trauen, wie ich diesen Bug-Report auf php.net las. Eigentlich hatte ich ja nach etwas komplett anderem im Internet gesucht, aber das musste ich dann doch gleich mal ausprobieren.
Da wir schon lange kein mod_php mehr einsetzen musste ich mir am Wochenende erst einmal einen solchen Webserver auf einer virtualiseren Maschine (dazu ggf. auch bald mehr) installieren - ich nahm hierzu den Standard-Apache von openSuSE 10.3, der mit mod_php 5.2.4 kommt, und schrieb ein dem Bug-Report entsprechendes Programm in C, das ich lokal statisch kompilierte und "wie ein normaler Webhosting-Kunde" per FTP hochlud.
Und tatsächlich: Sobald ich das Programm mittels system() über einen PHP-Skript aufrief, dauerte es keine ganze Sekunde bevor sich das Programm des Port 80 bemächtigt hatte und fortan selbst dort Anfragen beantwortete. Apache lief parallel weiter, tat aber gar nichts mehr und lies sich auch nur noch schwer beenden, wobei ein Neustart ohne Beenden meines kleinen C-Programmes natürlich gar nicht möglich war.
Mich würde gerade mal interessieren, ob unsere Marktbegleiter sich dieses Problemes bewusst sind bzw. wie sie damit umgehen. Selbst ausprobieren kommt natürlich nicht in Frage, da das schon ein recht massiver Eingriff in den Betrieb ist. Ein wenig schade finde ich ja auch, wie das Problem als "nicht-PHP-Problem" im Bug-Report abgetan wird - meines erachtens nach ist und bleibt es ein PHP-Problem und sollte dementsprechend auch behandelt werden.
Abgesehen davon, dass wir PHP via FastCGI ausführen, erlauben wir auch kein system() o.ä., da man damit recht leicht solch Begrenzugn wie PHP's open_basedir umgehen kann. Ich finde ja das sollte jeder so machen 
1.) System(...) und Co sind generell böse. Aufrufen von externen Programmen sollte man genauso wie eval(...) generell vermeiden
2.) Wenn ich das richtig verstanden habe kann man seinen eigenen Apache mit nem entsprechenden Programm übernehmen - so what?!
Wie gesagt wenn ich da was falsch verstanden habt - berichtigt mich bitte, denn ich bin immernoch der Überzeugung dass PHP5+ an sich nicht schlecht ist wenn man es richtig benutzt.
Es macht es einem aber extrem leicht groben Bullshit anzustellen.
Dabei muss es noch nichtmals ein FTP-Zugang sein - ein Remote Code Inclusion-Bug in einer X-beliebigen PHP-Anwendung reicht da schon vollkommen aus.
Abgesehen davon, dass system() und Co. natürlich böse sind.
Beide Prozesse werden vermutlich über apr_proc_create() (im Falle von FastCGI/mod_fcgid weiß ich es) erstellt und erhalten dementsprechend "bereinigte" Datei-Diskreptoren.
Ähnliches steht auch im Bug-Report
Nicht wegen des Problemes an sich (das aber auch schon heftig ist) sondern vor allem weil es noch immer besteht.
Und wenn sogar ich nach Anleitung das ganze Reproduzieren kann.... was wird dann erst Jemand schaffen der zB eine Sicherheitslücke in phpBB oder WBB ausnutzt ? (von denen es ja etliche gibt), und der AHNUNG von Programmieren hat ?
Aber anscheinend besteht ja kein Interesse daran das zu fixen.
Das ist ja bei einigen Bugs so, ich erinner nur an die "Month of PHP Bugs" Aktion von dings ähm.... sein Name ist mir entfallen... Helft mir, ihr kennt ihn doch alle
Mein jetziger Hoster hat schon lange von mod_php auf CGI umgestellt (bei Neukunden), das aber eigentlich nur weil soviele Leute es nicht gebacken bekommen ihr PHP Gedöns Safemode kompatibel zu machen.
Stefan Esser
Suche
Read this blog!
Kategorien
Blog abonnieren
Buttons
Kommentare
