[Postfixbuch-users] Squirrelmail: Welche Files nach Installation l?schen?
Peer Heinlein
p.heinlein at heinlein-support.de
Do Aug 10 12:42:07 CEST 2006
Am Donnerstag, 10. August 2006 11:18 schrieb Hannes H.:
> Nein. Ich meinte, dass man mit den administrativen Perl-Scripts
> eventuell irgend einen Unsinn von außen treiben könnte.
Dann mußt Du aber nicht das Script löschen, sondern Deinen Webserver
richtig konfigurieren! Dann mußt Du Ursache und nicht Symptom
bekämpfen.
Was soll es bringen ein Script zu löschen, wenn die grundsätzliche
Möglichkeit bestehen bleibt, "böse" Kommandos auszuführen? Dann
organisiere ich als Angreifer mir eben selbst das entsprechende Script.
DAS ist ja nicht das Problem! Die frage ist, warum sowas dann überhaupt
ausführbar ist!
> > Warum sollte Squirrelmail eine Datei installieren, die man dann
> > löschen muß?
>
> Das wär ja nichts neues, dass man Software am Server installiert und
> dann zB. /install löschen soll. Mambo, Typo3, ... haben solche zu
> löschenden Files.
Dann haben die keine ausreichenden Sicherheitskonzepte oder machen das
nur aus Prinzip um schlechte Server vor sich selbst zu schützen. Aber
auch das ist dann nur Symptombekämpfung, nicht Ursache.
Wir machen das bei Typo3 zum Beispiel nicht, sondern sichern das einfach
lieber vernünftig.
Wie auch immer: Mittlerweile dürfte ja auch klar sein, daß zumindest das
bei Squirrelmail das nicht nötig ist.
Mit freundlichen Grüßen
Peer Heinlein
--
Heinlein Professional Linux Support GmbH
Akademie: Linux - Support - Hosting
http://www.heinlein-support.de
Mehr Informationen über die Mailingliste Postfixbuch-users