SECURITY BUG - fehlerhafte konfiguration in opensuse 10.2 (apache/php)
hallo opensuse-team, hallo welt soeben ist mir bei einem kleinen tippfehler in url meines web-browsers ein eklatanter fehler bezüglich der konfiguration des apache2 und/oder php aufgefallen! sobald man hinter der url wie beispielsweise "http://meinedomain.de/index.php" ein + anhängt also das ganze dann "http://meinedomain.de/index.php+" so ausschaut, _*zeigt der webbrowser den gesamten quellcode des aufgerufenen scriptes inklusive eines evtl. vorhanden passwortes für die datenbank an!*_ womit sich für mich selbstverständlich die frage stellt, wie ich diesen fehler schnellstens beseitigen kann! ich habe bereits aus neugier andere webseiten die php verwenden ausprobiert ob ich diesen fehler dort ebenfalls finde, aber dem war (glücklicherweise) nicht so, somit ist klar das dies ein fehler von meinem standart konfugurierten opensuse 10.2 system sein muss! no sex no drugs no carrier greetings martin ^^ :D -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Martin! Am 19.09.2007 um 15:32 Uhr schrieb Martin Parusel:
ich habe bereits aus neugier andere webseiten die php verwenden ausprobiert ob ich diesen fehler dort ebenfalls finde, aber dem war (glücklicherweise) nicht so, somit ist klar das dies ein fehler von meinem standart konfugurierten opensuse 10.2 system sein muss! So eine Opensuse habe ich nicht, meine hat eine Standard-Konfiguration, obwohl ... mein PC steht unter dem Schreibtisch. Gilt das auch als Standard? ;-))
Im Ernst: Ich keinen deinen Fehler nicht reproduzieren (bis auf den Kernel ist alles Original-SuSE). Es kommt (wie zu erwarten war) folgende Meldung: Object not found! The requested URL was not found on this server. If you entered the URL manually please check your spelling and try again. If you think this is a server error, please contact the webmaster. Error 404 localhost Wed Sep 19 17:04:08 2007 Apache/2.2.3 (Linux/SUSE) Wenn du denkst, es liegt an deiner Konfiguration, dann solltest du sie uns vielleicht verraten. cu Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Peter
Im Ernst: Ich keinen deinen Fehler nicht reproduzieren (bis auf den Kernel ist alles Original-SuSE). Es kommt (wie zu erwarten war) folgende Meldung:
Object not found! The requested URL was not found on this server. If you entered the URL manually please check your spelling and try again. If you think this is a server error, please contact the webmaster. Error 404
localhost Wed Sep 19 17:04:08 2007 Apache/2.2.3 (Linux/SUSE)
Wenn du denkst, es liegt an deiner Konfiguration, dann solltest du sie uns vielleicht verraten.
Irrtum, denn es ist _*nicht meine*_ konfiguration sondern die standart konfiguration von apache und php die mit opensuse 10.2 kommt! mit anderen worten ich habe niemals in den betreffenden konfigurationsdateien selbst hand angelegt, darum auch mein post in dieser mailingliste! wie dem auch sei ich hab das problem bereits anderweitig aus der welt geschafft: /etc/apache2/httpd.conf.local <FilesMatch \+$> Order allow,deny Deny from all </FilesMatch> und dann ein einen eintrag in die /etc/sysconfig/apache2 unter APACHE_CONF_INCLUDE_FILES eingetragen so wie es eben auch in /etc/apache2/httpd.conf geschrieben steht und voila ein anfügen eine + zeichens hinter ein .php in der url endet mit einem: Zugriff verweigert! Der Zugriff auf das angeforderte Objekt ist nicht möglich. Entweder kann es vom Server nicht gelesen werden oder es ist zugriffsgeschützt. Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster <mailto:zeridianer@gmx.de> hierüber. Error 403 meinhostname <http://zeridion.eremit.ath.cx/> Thu Sep 20 15:31:39 2007 Apache/2.2.3 (Linux/SUSE) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 20. September 2007 15:35:01 schrieb Martin Parusel:
Im Ernst: Ich keinen deinen Fehler nicht reproduzieren (bis auf den Kernel ist alles Original-SuSE). Es kommt (wie zu erwarten war) folgende Meldung:
Irrtum, denn es ist _*nicht meine*_ konfiguration sondern die standart konfiguration von apache und php die mit opensuse 10.2 kommt! mit anderen worten ich habe niemals in den betreffenden konfigurationsdateien selbst hand angelegt, darum auch mein post in dieser mailingliste!
Also ich muss sagen, ich kann den Fehler ebenfalls nicht reproduzieren, auch ich bekomme wie Peter eine Fehlermeldung "Objekt nicht gefunden"(ebenfalls: Apache/2.2.3 (Linux/SUSE) ). Versionsvergleich: apache2: 2.2.3-20@i586 PHP 5.2.0 mit Suhosin-Patch 0.9.6.1 Grüße Michael
Michael Skiba schrieb:
Also ich muss sagen, ich kann den Fehler ebenfalls nicht reproduzieren, auch ich bekomme wie Peter eine Fehlermeldung "Objekt nicht gefunden"(ebenfalls: Apache/2.2.3 (Linux/SUSE) ).
Versionsvergleich: apache2: 2.2.3-20@i586 PHP 5.2.0 mit Suhosin-Patch 0.9.6.1
Hmmm, womit sich die frage stellt was da wohl bei mir offenbar anderst ist und warum es anderst ist, obwohl ich nie (bis auf den beschriebenen + fix) änderungen gemacht habe. nunja, im moment lässt sich da wohl nichts finden aber ich werde das mal im auge behalten. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Michael! Nur zum Vergleich: Am 20.09.2007 um 15:47 Uhr schrieb Michael Skiba:
Versionsvergleich: apache2: 2.2.3-20@i586 PHP 5.2.0 mit Suhosin-Patch 0.9.6.1
apache2-2.2.3-20 apache2-mod_php5-5.2.0-19 php5-5.2.0-19 Mit der Original-Konfiguration der 10.2. cu Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Martin! Vorab erst das Wichtigste: KEINE PM! Ich lese hier auf der Liste mit und brauche keine Mail doppelt! Am 20.09.2007 um 15:35 Uhr schrieb Martin Parusel:
Wenn du denkst, es liegt an deiner Konfiguration, dann solltest du sie uns vielleicht verraten.
Irrtum, denn es ist _*nicht meine*_ konfiguration sondern die standart konfiguration von apache und php die mit opensuse 10.2 kommt! mit anderen worten ich habe niemals in den betreffenden konfigurationsdateien selbst hand angelegt, darum auch mein post in dieser mailingliste!
<denlehrerraushängenlassen> Es heißt nicht Standart, sondern Standard. </denlehrerraushängenlassen> Wenn du immer noch glaubst, dass es ein Fehler der SuSE-Konfiguration ist, dann teile doch bitte deine hier mit, damit wir vergleichen können.
wie dem auch sei ich hab das problem bereits anderweitig aus der welt geschafft:
/etc/apache2/httpd.conf.local
<FilesMatch \+$> Order allow,deny Deny from all </FilesMatch>
Wenn es dein alleiniger Webserver ist, wirst du wohl auch wissen, was du tust. Du beseitigst damit nur ein Symptom, aber nicht die Ursache.
Error 403 Bei mir kommt Error 404, weil das + als Teil des Dateinamens interpretiert wird. Damit stimmt m. E. etwas nicht mit deinem php.
cu Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Martin! Martin Parusel wrote:
soeben ist mir bei einem kleinen tippfehler in url meines web-browsers ein eklatanter fehler bezüglich der konfiguration des apache2 und/oder php aufgefallen! sobald man hinter der url wie beispielsweise "http://meinedomain.de/index.php" ein + anhängt also das ganze dann "http://meinedomain.de/index.php+" so ausschaut, _*zeigt der webbrowser den gesamten quellcode des aufgerufenen scriptes inklusive eines evtl. vorhanden passwortes für die datenbank an!*_ womit sich für mich selbstverständlich die frage stellt, wie ich diesen fehler schnellstens beseitigen kann!
Bist Du GANZ sicher, dass im DocumentRoot deines Webservers nicht tatsächlich eine Datei existiert, die "index.php+" heisst? Im Zweifelsfall nochmal nachschauen! Das ist m.E. die naheliegendste Erklärung für das von Dir beschriebene Phänomen. (Sagt meine Kristallkugel.) In der Standard-Konfiguration werden nur Dateien mit der Endung .php, .php3, .php4 von PHP geparst, eine Datei mit anderer Endung ( eben auch .php+ ) wird einfach so wie sie ist an den Webbrowser ausgeliefert, daher siehst Du dann den php code des scripts. Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Joachim Marx schrieb:
Hallo Martin!
Bist Du GANZ sicher, dass im DocumentRoot deines Webservers nicht tatsächlich eine Datei existiert, die "index.php+" heisst? Im Zweifelsfall nochmal nachschauen!
*AUA*, bitte erschlagt mich jetzt nicht leute /grins/, aber genau so wie joachim geschrieben hat ist es gewesen /räusper/! naja einen vorteil hat das ganze, je dämlicher und peinlicher ein fehler ist und je mehr davon mitbekommen umso sicherer kann man sein das er einem NIEEE wieder vorkommt /grins räusper hüstel / Das Problem ist damit also behoben und das thema abgehakt (CLOSE) ^^ :D THX all THX Joachim No Sex No Drugs No Carrier Greetings Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Joachim Marx -
Martin Parusel -
Michael Skiba -
Peter Geerds