phpbar.de logo

Mailinglisten-Archive
[php] PHP Sicherheit und CERT

[php] PHP Sicherheit und CERT

Andreas Heigl a.heigl at wdv.de
Don Okt 14 17:16:02 CEST 2004 

Am 14.10.2004 16:59 Uhr schrieb "Friedhelm Betz" unter <holliwell at gmx.net>:

> Hi David,
> [...]
>> Was da zu machen ist, ist eigentlich am Beispiel ganz gut zu erkennen.
>> Das Problem ist, dass hier ein ungeprüfter Parameter verwendet wird.
>> Dieser muss, wenn man sein Script so aufbaut, überprüft werden. Z.B.
>> könnte man ein Array mit allen erlaubten Dateien anlegen und mittels
>> in_array() überprüfen, ob der Parameter erlaubt ist.
> 
> Das war mir schon klar;-)
> 
> Ich wollte eher darauf hinaus, dass meiner Meinung nach diese Art von
> Meldungen zwar ganz o.k. sind. Aber _ohne_ explizit irgendwelche
> Hinweise zu geben, wie das Problem in Griff zu bekommen ist, ist das
> doch eher bescheiden.
> Die Frage aus Adminsicht dabei ist doch, welche Massnahmen serverseitig
> moeglich sind um sich davor zu schuetzen.
> 

Also ich hab das so verstanden, dass man im log nachschauen soll, ob der
webserver kompromitiert ist oder nicht. wenn er noch nicht kompromitiert
ist, kann man das Problem lösen, wenn man die php.ini entsprechend ändert (
bzw nachschaut, ob der entsprechende flag nicht eh schon richtig gesetzt
ist). Und da das ganze mit 'Liebe Kolleginen und Kollegen' überschrieben ist
kann man sich denken, das das ganze nur bestimmt ist für die Uni Stuttgart
bzw. Sysadmins von BadenWürttembergischen Unis. Und dass in dieser meldung
nur ein Beispielskript gezeigt wurde liegt daran, dass meistens ein Admin
zuständig ist für unzählige virtuelle server, deren inhalte von anderen
leuten gepflegt werden (die im allgemeinen die CERT-Meldungen nicht
kriegen/lesen ). Die kann sich der admin dann nach dem auswerten der
Log-Dateien gezielt zur Brust nehmen und en Detail klären, wo das problem
liegt. 
>
> Ich weiss nicht, wie ich auf einen Warnbrief eines Automobilherstellers
> reagieren wuerde, der sagt bei Ihrem Motor laeuft unter bestimmten
> Umstaenden Oel aus, schauen Sie nach ob das bei Ihnen der Fall ist.
> 
Der Warnbrief geht ja eigentlich mehr an die Werkstatt. Und da steht dann
drin, dass im moment Öl im Umlauf ist, dass extrem dünnflüssig ist. Wenn
beim Kunden Öl ausläuft, muss das Öl gewechselt werden. Wenn der Kunde
(Programmierer) von vornherein aufgepasst hätte, wär das Problem nicht
entstanden. 

Grüße

Andreas
-- 

wdv Medien & Kommunikation GmbH & Co. OHG
Mediendatenverarbeitung
Andreas Heigl
Siemensstrasse 6
61352 Bad Homburg
Germany
Telefon +49-(0)6172-670-185
Telefax +49-(0)6172-670-181
www.wdv.de

php::bar PHP Wiki   -   Listenarchive