PDA

Bekijk Volledige Versie : [Apache] Waar dient SymLinksIfOwnerMatch eigenlijk voor?



Rene Pijlman
10/02/03, 12:15
Uit de manual van Apache 1.3:

"SymLinksIfOwnerMatch
The server will only follow symbolic links for which the target
file or directory is owned by the same user id as the link."
http://httpd.apache.org/docs/mod/core.html#options

Ik snap wat dit doet, maar waar dient dit eigenlijk voor? Welk
specifiek beveiligingsrisico ontstaat met Apache 1.3.x op Linux
als je in plaats hiervan voor FollowSymLinks kiest?

"FollowSymLinks
The server will follow symbolic links in this directory."

--
René Pijlman

Wat wil jij leren? http://www.leren.nl

Daniel Tryba
10/02/03, 21:05
Rene Pijlman <reageer.in@de.nieuwsgroep> wrote:
> "SymLinksIfOwnerMatch
> The server will only follow symbolic links for which the target
> file or directory is owned by the same user id as the link."
> http://httpd.apache.org/docs/mod/core.html#options
>
> Ik snap wat dit doet, maar waar dient dit eigenlijk voor? Welk
> specifiek beveiligingsrisico ontstaat met Apache 1.3.x op Linux
> als je in plaats hiervan voor FollowSymLinks kiest?

BV een link naar bv /etc/passwd op een systeem zonder shadow
passwords (nu zullen er niet meer veel systemen zo geconfigureerd zijn,
maar in /etc/ staan genoeg spulletjes die poteniteel een risico kunnen
zijn of op z'n minst niet ongewenst zijn (zo kan je dus met een link
naar /etc/passwd een lijst loginnamen extraheren van een systeem)).

--

Daniel Tryba

Rene Pijlman
10/02/03, 21:35
Daniel Tryba:
>Rene Pijlman:
>> "SymLinksIfOwnerMatch
>> waar dient dit eigenlijk voor?
>
>zo kan je dus met een link naar /etc/passwd een lijst
>loginnamen extraheren van een systeem)).

Ah wacheffe, ik snap hem. Het is voor systeembeheerders die de
contentbeheerders niet kunnen vertrouwen. Dank.

Ik heb een eigen server, ben zelf systeembeheerder en
contentbeheerder, en ik kon maar niet bedenken welk risico ik nu
eigenlijk nam door FollowSymlinks te enablen :-)

--
René Pijlman

Wat wil jij leren? http://www.leren.nl

Daniel Tryba
10/02/03, 22:15
Rene Pijlman <reageer.in@de.nieuwsgroep> wrote:
> Ah wacheffe, ik snap hem. Het is voor systeembeheerders die de
> contentbeheerders niet kunnen vertrouwen. Dank.
>
> Ik heb een eigen server, ben zelf systeembeheerder en
> contentbeheerder, en ik kon maar niet bedenken welk risico ik nu
> eigenlijk nam door FollowSymlinks te enablen :-)

Je vergeet even een andere factor: de software. Stel je voor dat Apache
een lek bevat en daarmee als priveliged user (dat moet je immers normaal
gesproken zijn om aan poort 80 te kunnen binden) files kan versturen? Ik
vind het volgens van symlinks (die naar buiten de documentroot wijzen)
maar een enge feature (maar toch staat ie aan :).

--

Daniel Tryba