[Postfixbuch-users] OT: Squirrelmail: Welche Files nach Installation l?schen?

Peer Heinlein p.heinlein at heinlein-support.de
Do Aug 10 14:51:03 CEST 2006


Am Donnerstag, 10. August 2006 13:42 schrieb Marc Samendinger:

> > Meine Frage ist: Wieso sind bei Dir auf dem Server Programme
> > (=Scripte) ausführbar. Warum kann ich x-beliebige Programme bei Dir
> > ausführen.
>
> Vielleicht verstehen "wir" uns da falsch. Wenn ich mich nicht täusche
> ist Squirrelmail in Perl geschrieben (oder wars PHP?) und um ein

Squirrelmail ist PHP. es erfordert ganz normal Apache-PHP alias LAMP.

Das config.pl ist ein Perl-Script. Es wird nicht durch PHP gestartet. Es 
erfordert eine Konfiguration mit CGI außerhalb von cgi-bin *oder* die 
Möglichkeit system(), exec() & Co (siehe Alert auf unseren Seiten) 
auszuführen -- letzteres ist dann aber ein globales Problem, das JEDES 
PHP-Script betrifft und WENN das möglich ist, dann interessiert mich 
auch nicht mehr config.pl, sondern dann speise ich sowieso beliebige 
eigene Kommandos ein und nutze gleich die Tools in /usr/bin.

> Programm nicht. Wenn nun ein Konfigurationsskript bei der
> Installation aufgerufen wird das bestimmte Änderungen im System
> vornimmt, dieses (Perl/PHP) Skript aber auf einer produktiven
> Maschine nicht mehr vorhanden sein sollte, dann kann in der
> Installationsdatei schonmal stehen "Datei nach Konfiguiration
> löschen".

"Sollte" ist in dem Fall aber Selbstbetrug. Ein Server ist angreifbar, 
oder er ist es nicht. Ob ein konkretes Script da nun liegt, oder nicht 
liegt, ist auch egal.

> aufgerufen werden müssen! Wenn das Skript bei squirrelmail ein Skript
> ist, dass dazu gedacht ist von der Kommandozeile aufgerufen zu
> werden, dann wäre das ein Missverständnis meinerseits und würde alles
> erklären.

Es ist in der Kommandozeile zu starten. Es ist PERL, nicht PHP.  Das ist 
völlig verschieden. Es ist nur per Webbrowser zu starten, wenn es 
sowieso möglich ist, x-beliebige Kommandos zu starten (was auf 95% der 
Webserver übrigens GEHT und auch per Default so in PHP freigeschaltet 
ist!). DANN ist es aber egal, denn dann starte ich nicht dieses Script, 
sondern alles, was ich will.


Mit freundlichen Grüßen

Peer Heinlein

-- 
Heinlein Professional Linux Support GmbH
Akademie: Linux - Support - Hosting

http://www.heinlein-support.de




Mehr Informationen über die Mailingliste Postfixbuch-users