Apache mit mod_php übernehmen

Wohnzimmerhostblogger

< Jabber-Status | Fröhlich >

Dienstag, 8. April 2008

Apache mit mod_php übernehmen

Ich konnte meinen Augen kaum trauen, wie ich diesen Bug-Report auf php.net las. Eigentlich hatte ich ja nach etwas komplett anderem im Internet gesucht, aber das musste ich dann doch gleich mal ausprobieren.

Da wir schon lange kein mod_php mehr einsetzen musste ich mir am Wochenende erst einmal einen solchen Webserver auf einer virtualiseren Maschine (dazu ggf. auch bald mehr) installieren - ich nahm hierzu den Standard-Apache von openSuSE 10.3, der mit mod_php 5.2.4 kommt, und schrieb ein dem Bug-Report entsprechendes Programm in C, das ich lokal statisch kompilierte und "wie ein normaler Webhosting-Kunde" per FTP hochlud.

Und tatsächlich: Sobald ich das Programm mittels system() über einen PHP-Skript aufrief, dauerte es keine ganze Sekunde bevor sich das Programm des Port 80 bemächtigt hatte und fortan selbst dort Anfragen beantwortete. Apache lief parallel weiter, tat aber gar nichts mehr und lies sich auch nur noch schwer beenden, wobei ein Neustart ohne Beenden meines kleinen C-Programmes natürlich gar nicht möglich war.

Mich würde gerade mal interessieren, ob unsere Marktbegleiter sich dieses Problemes bewusst sind bzw. wie sie damit umgehen. Selbst ausprobieren kommt natürlich nicht in Frage, da das schon ein recht massiver Eingriff in den Betrieb ist. Ein wenig schade finde ich ja auch, wie das Problem als "nicht-PHP-Problem" im Bug-Report abgetan wird - meines erachtens nach ist und bleibt es ein PHP-Problem und sollte dementsprechend auch behandelt werden.

Abgesehen davon, dass wir PHP via FastCGI ausführen, erlauben wir auch kein system() o.ä., da man damit recht leicht solch Begrenzugn wie PHP's open_basedir umgehen kann. Ich finde ja das sollte jeder so machen :-)


Geschrieben von Bernd Holzmüller in Technik um 16:50 | Kommentare (9) | Trackbacks (0)

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Darf ich mal kurz den grammar nazi spielen? "sich bemächtigen" steht mit Genitiv -- also "des Ports 80".
#1 G.N. am 08.04.2008 22:32 (Antwort)
Ich zeige mich einsichtig ;-) Danke dafür
#1.1 Bernd Holzmüller (Homepage) am 09.04.2008 00:22 (Antwort)
Hm - ich seh das ganze nicht als so tragisch an einfach weil diese Konstellation kaum vorkommen wird (wenn ich das jetzt nicht falsch verstanden habe)

1.) System(...) und Co sind generell böse. Aufrufen von externen Programmen sollte man genauso wie eval(...) generell vermeiden

2.) Wenn ich das richtig verstanden habe kann man seinen eigenen Apache mit nem entsprechenden Programm übernehmen - so what?!

Wie gesagt wenn ich da was falsch verstanden habt - berichtigt mich bitte, denn ich bin immernoch der Überzeugung dass PHP5+ an sich nicht schlecht ist wenn man es richtig benutzt.

Es macht es einem aber extrem leicht groben Bullshit anzustellen.
#2 kenny (Homepage) am 09.04.2008 08:16 (Antwort)
#2 trifft eben so nicht so. Sobald das "böse" system() (oder etwas entsprechendes) - und da gibt es schon ein paar Provider, die das zulassen - nutzbar ist, kann **irgendjemand**, der Zugriff per FTP hat, diese Maschine übernehmen.
Dabei muss es noch nichtmals ein FTP-Zugang sein - ein Remote Code Inclusion-Bug in einer X-beliebigen PHP-Anwendung reicht da schon vollkommen aus.
#2.1 Bernd Holzmüller (Homepage) am 09.04.2008 08:40 (Antwort)
Interessant wäre jetzt mal zu testen, wie das bei den CGI-Versionen aussieht und ob es z.B. hilft, wenn man das document_root als noexec mountet.

Abgesehen davon, dass system() und Co. natürlich böse sind.
#3 Balu (Homepage) am 09.04.2008 11:06 (Antwort)
Ich denke mal harmlos. CGI als solches habe ich nicht getestet, wohlgemerkt aber natürlich FastCGI.

Beide Prozesse werden vermutlich über apr_proc_create() (im Falle von FastCGI/mod_fcgid weiß ich es) erstellt und erhalten dementsprechend "bereinigte" Datei-Diskreptoren.

Ähnliches steht auch im Bug-Report
#3.1 Bernd Holzmüller (Homepage) am 09.04.2008 11:25 (Antwort)
Ich sag nur, "WOW".
Nicht wegen des Problemes an sich (das aber auch schon heftig ist) sondern vor allem weil es noch immer besteht.

Und wenn sogar ich nach Anleitung das ganze Reproduzieren kann.... was wird dann erst Jemand schaffen der zB eine Sicherheitslücke in phpBB oder WBB ausnutzt ? (von denen es ja etliche gibt), und der AHNUNG von Programmieren hat ?

Aber anscheinend besteht ja kein Interesse daran das zu fixen.
Das ist ja bei einigen Bugs so, ich erinner nur an die "Month of PHP Bugs" Aktion von dings ähm.... sein Name ist mir entfallen... Helft mir, ihr kennt ihn doch alle ;-)

Mein jetziger Hoster hat schon lange von mod_php auf CGI umgestellt (bei Neukunden), das aber eigentlich nur weil soviele Leute es nicht gebacken bekommen ihr PHP Gedöns Safemode kompatibel zu machen.
#4 Andy (Homepage) am 12.04.2008 12:57 (Antwort)
> ähm.... sein Name ist mir entfallen... Helft mir, ihr kennt ihn doch alle ;-)

Stefan Esser
#4.1 Anonymous Coward am 12.04.2008 14:29 (Antwort)
Unable to connect to SQL server.
#5 HüstelPrust am 15.04.2008 20:45 (Antwort)

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Suche

Read this blog!

Linux und Christoph
Pssssst!
magerquark.de
Mein Papa bloggt(e?) (inaktiv)
Löser, Schlichter, Papa
Bestatterweblog

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Buttons

tiggersWelt.net

Written with s9y

Kommentare

Bernd Holzmüller zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d ass sie Dein Passwort in Klart ext speichern. Ist schon zu lange her, dass ich mich mit PPP(oE), CHAP und PAP auseinan derg [...]
Malte zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m einen DSL-Anschlussbrief von 1 &1 bekommen habe im Kundeninte rface das DSL-Passwort geänder t. Im Anschlussbrief war st and [...]
Bernd Holzmüller zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:29
Diese Information ist für Inte ressierte bereits in der Übers chrift enthalten. Ich glaub e nicht, dass es mir obliegt d en Marktbegleiter durch expliz ite [...]
Alphager zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:11
Hier hilft nur name and shame.
Tux2000 zu Bestes Firmware-Update der Geschichte
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve rgessen". Oder, fast noch schl immer: Bootloader so verkorkst , dass das Update nicht funkti oniert. Aber das Ding ist o hneh [...]

Notice this!

Impressum
Blog Top Liste - by TopBlogs.de