Em 16/1/2008, "Alexander Wanning" alexanderwanning@gmx.de escreveu:
Jetzt hat sich kürzlich herausgestellt, dass aus welchen unerfindlichen Gründen 2 Komponenten des von mir eingesetzten CMS nach Zugriff auf die Konfiguration die Konfigurations-Dateien öffnen und dann statt wie vorher mit 644 die Dateien mit den Rechten 777 abspeichern.
Wieso überhaupt *44? Warum muss der Webserver dort schreiben können, wenn er die Konfiguration doch sicherlich nur liest? Wenn die Anwendung einmal konfiguriert ist, entziehst du einfach die Schreibrechte (chmod -w) und Ruhe ist.
Jetzt weiss ich zwar um das Problem mit den Komponenten, kann sie aber selbst mangels PHP-Kenntnissen nicht umschreiben. Könnte ich aus Sicherheitsgründen nicht ein Script erstellen, welches als Cronjob läuft in verschiedenen Abständen und folgendes macht:
[...]
Das mag jetzt zwar etwas akademisch klingen, aber du hast dann eine Race Condition, also ein Zeitfenster, in welchem die Angreifer bereits tätig geworden sein können. Solange dieses größer Null ist, ist auch die Wahrscheinlichkeit eines Angriffs größer Null. Das Risiko würde ich nicht eingehen wollen.
Du könntest ja auch etwas spezifischer werden, vielleicht finden sich Freiwillige, die die Lücke für dich beheben. Genügend PHP-Entwickler gibt es ja auf dieser Liste.
Josef