Mailinglist Archive: opensuse-de (2461 mails)
| < Previous | Next > |
Re[2]: php-pages - security-bug #2
- From: Martin Rieth <suse@xxxxxxxxxxxxx>
- Date: Mon, 13 Jun 2005 15:24:34 +0200
- Message-id: <188518511.20050613152434@xxxxxxxxxxxxx>
Moin Moin Florian,
Montag, 13. Juni 2005 - Florian Kieling :
>> >> auf meinem Server werden PHP-Seiten ab-und-zu zum Download angeboten.
>> >> Im Quelltext. Das ganze ist nicht reproduzierbar und passiert eben
>> >> manchmal und manchmal nicht. Bei den gleichen URLs !
>> >>
>> >> Zu meinem Server:
>> >> ich nutze SuSE 9.1, Apache 2.0.49
>> >> uname -a liefert:
>> >> Linux h61579 2.6.5-7.151-default #1 Fri Mar 18 11:31:21 UTC 2005 i686
>> >> i686 i386 GNU/Linux
>> >>
>> >> Einigermassen Zeitnah habe ich mit YOU ein Auto-Update gefahren.
>> >> Der Kernel wurde aktualisiert und das neue PHP-Security-Update
>> >> hat "angeblich" das php-recode ausgeschaltet.
>> >>
>> >> Eine URL bei der es als Beispiel mal immer wieder den Quellcode gibt:
>> >> http://menschenrechtsbund.metanormal.de/?p=2
>> >>
>> >> Im Web, Google und SuSE Listen habe ich ewig viel Hinweise über
>> >> fehlende Addtype-Einträge in den vhost.conf gefunden. Dies ist bei mir
>> >> aber nicht die Ursache. Da diese vorhanden sind und vor den Updates auch
>> >> alles lief.
>> >> An dem Content der PHP-Seiten liegt es auch nicht, da auch ganz
>> >> primitive PHP-Seiten davon betroffen sind.
>> >
>> > Was sagt das Log-File vom Apache, wenn eine PHP-Seite als Quellcode
>> > ausgeliefert wird? Irgendeine Fehlermeldung o.ä.?
>>
>> Das Apache2-Logfile arbeitet prima und liefert z.B.: (ip# geändert)
>> 1.2.3.4 - - [11/Jun/2005:17:47:04 +0200] "GET /?p=2 HTTP/1.1" 200 6491 "-"
>> "Mozilla/5.0 (compatible; Konqueror/3.4) KHTML/3.4.0 (like Gecko)" 1.2.3.4
>> - - [11/Jun/2005:17:47:05 +0200] "GET /?p=2 HTTP/1.1" 200 95 "-"
>> "Mozilla/5.0 (compatible; Konqueror/3.4) KHTML/3.4.0 (like Gecko)" 1.2.3.5
>> - - [11/Jun/2005:18:21:11 +0200] "GET /?p=2 HTTP/1.1" 200 6491 "-"
>> "Mozilla/5.0 (compatible; Konqueror/3.4) KHTML/3.4.0 (like Gecko)" 1.2.3.5
>> - - [11/Jun/2005:18:21:14 +0200] "GET /?p=2 HTTP/1.1" 200 95 "-"
>> "Mozilla/5.0 (compatible; Konqueror/3.4) KHTML/3.4.0 (like Gecko)"
>>
>> Einziger Unterschied. Wenn der PHP-Source-Code (!) geliefert wird,
>> erscheint die Datei-Groesse korrekt als gesendete Byte-Anzahl: 95 anstatt
>> 6491 wie der HTML-Code hat.
>> So als ob mal kurz das PHP-Modul abgestürzt ist und dann wieder
>> funktioniert.
> Gibt's noch Fehlermeldungen vom Apache in der /var/log/messages?
Alles clean: alle /var/log/ oder /var/log/apache sind ohne Fehlermeldung.
bzw. nur die gewöhnlichen Scriptkiddies (no such pass, etc.)
Ich sach 42, Martin
----- _ _ _ _ . . _ _ . . _ .
|-' /-\ |-< /-\ |\| (_) |-< |\/| /-\ |_
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
! Wieviel Schaden muss eine Firma anrichten, bevor !
! wir ihre Existenz hinterfragen ? - Paul Hawken !
Montag, 13. Juni 2005 - Florian Kieling :
>> >> auf meinem Server werden PHP-Seiten ab-und-zu zum Download angeboten.
>> >> Im Quelltext. Das ganze ist nicht reproduzierbar und passiert eben
>> >> manchmal und manchmal nicht. Bei den gleichen URLs !
>> >>
>> >> Zu meinem Server:
>> >> ich nutze SuSE 9.1, Apache 2.0.49
>> >> uname -a liefert:
>> >> Linux h61579 2.6.5-7.151-default #1 Fri Mar 18 11:31:21 UTC 2005 i686
>> >> i686 i386 GNU/Linux
>> >>
>> >> Einigermassen Zeitnah habe ich mit YOU ein Auto-Update gefahren.
>> >> Der Kernel wurde aktualisiert und das neue PHP-Security-Update
>> >> hat "angeblich" das php-recode ausgeschaltet.
>> >>
>> >> Eine URL bei der es als Beispiel mal immer wieder den Quellcode gibt:
>> >> http://menschenrechtsbund.metanormal.de/?p=2
>> >>
>> >> Im Web, Google und SuSE Listen habe ich ewig viel Hinweise über
>> >> fehlende Addtype-Einträge in den vhost.conf gefunden. Dies ist bei mir
>> >> aber nicht die Ursache. Da diese vorhanden sind und vor den Updates auch
>> >> alles lief.
>> >> An dem Content der PHP-Seiten liegt es auch nicht, da auch ganz
>> >> primitive PHP-Seiten davon betroffen sind.
>> >
>> > Was sagt das Log-File vom Apache, wenn eine PHP-Seite als Quellcode
>> > ausgeliefert wird? Irgendeine Fehlermeldung o.ä.?
>>
>> Das Apache2-Logfile arbeitet prima und liefert z.B.: (ip# geändert)
>> 1.2.3.4 - - [11/Jun/2005:17:47:04 +0200] "GET /?p=2 HTTP/1.1" 200 6491 "-"
>> "Mozilla/5.0 (compatible; Konqueror/3.4) KHTML/3.4.0 (like Gecko)" 1.2.3.4
>> - - [11/Jun/2005:17:47:05 +0200] "GET /?p=2 HTTP/1.1" 200 95 "-"
>> "Mozilla/5.0 (compatible; Konqueror/3.4) KHTML/3.4.0 (like Gecko)" 1.2.3.5
>> - - [11/Jun/2005:18:21:11 +0200] "GET /?p=2 HTTP/1.1" 200 6491 "-"
>> "Mozilla/5.0 (compatible; Konqueror/3.4) KHTML/3.4.0 (like Gecko)" 1.2.3.5
>> - - [11/Jun/2005:18:21:14 +0200] "GET /?p=2 HTTP/1.1" 200 95 "-"
>> "Mozilla/5.0 (compatible; Konqueror/3.4) KHTML/3.4.0 (like Gecko)"
>>
>> Einziger Unterschied. Wenn der PHP-Source-Code (!) geliefert wird,
>> erscheint die Datei-Groesse korrekt als gesendete Byte-Anzahl: 95 anstatt
>> 6491 wie der HTML-Code hat.
>> So als ob mal kurz das PHP-Modul abgestürzt ist und dann wieder
>> funktioniert.
> Gibt's noch Fehlermeldungen vom Apache in der /var/log/messages?
Alles clean: alle /var/log/ oder /var/log/apache sind ohne Fehlermeldung.
bzw. nur die gewöhnlichen Scriptkiddies (no such pass, etc.)
Ich sach 42, Martin
----- _ _ _ _ . . _ _ . . _ .
|-' /-\ |-< /-\ |\| (_) |-< |\/| /-\ |_
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
! Wieviel Schaden muss eine Firma anrichten, bevor !
! wir ihre Existenz hinterfragen ? - Paul Hawken !
| < Previous | Next > |