Security Bug in PHP wird nicht gefixt?

[thorben]

moin,
ich habe vor ein paar tagen bereits auf die debian-security mailing liste geschrieben, aber leider keine antwort erhalten: http://lists.debian.org/debian-security ... 00091.html

es geht darum, dass der in http://bugs.php.net/bug.php?id=32937 beschriebene bug in sarge seit einiger zeit nicht gefixt wurde.

vielleicht weiß es ja hier jemand, werden open_basedir bugs in PHP nicht mehr gefixt bzw. warum reagiert auf der liste niemand?

gruß
thorben

[lobo]

Hi.

Am besten ist es sicher, wenn du einen Bugreport für die betroffenen Debian Pakete machst. Als Tag solltest du dann "security" setzten, dann wird auch das Security-Team benachrichtigt, worauf dann sicher jemand mal ein bischen Reaktion zeigt.

Ich finde es ziemlich schlecht, dass niemand auf deinen Post auf der Mailingliste reagiert hat. Wobei in diesem Thread http://lists.debian.org/debian-security ... 00160.html , auch nicht wirklich jemand Stellung bezogen hat.

Entweder machen die alle Urlaub oder man muss die einfach mal von allen Seiten wachrütteln.

Gruss

Jochen

[blackm]

Status: Bogus

Weder Bug, noch Security...und wenn doch, ist es ein Bug in php5...das ist gerade mal in unstable und da muss man keine security Bugs fixen...beim naechste Upstream ist das Problem sicher behoben.

by, Martin

[thorben]

moin,
es ist kein bug der ausschließlich in PHP5 auftritt. ich verwende die stabile version von debian sarge (4.3.10-15) und habe den fehler letzte woche festgestellt.

gruß
thorben

[blackm]

Bei uns tritt das Problem aber nicht auf. Wir haben das open_basedir auf verschiedenen Rechnern gesetzt (alle Sarge) und wir kommen nicht nach /tmp.

by, Martin

[thorben]

moin,
wie genau habt ihr open_basedir gesetzt?

ich habe immer: "open_basedir = /var/www/kunde1/" usw. für jeden vhost gesetzt. von kunde1 konnte ich auf auch auf kunde10, kunder 13 oder alles was halt mit kunde1 anfängt zugreifen. normalerweise sollte das durch den / verhindert werden.

habs mit dem http://nopaste.debianforum.de/834 dateibrowser getestet

gruß
thorben

[blackm]

wie genau habt ihr open_basedir gesetzt?

Wir haben es ueber die vhosts von apache gemacht. Jeder host hast seine Datei und die sieht etwa so aus:

Code: Alles auswählen

php_admin_value open_basedir /home/www/domain1/htdocs/:/home/www/domain1/tmp/

Das es funktioniert habe ich daran gesehen das eine Software versucht hat in /tmp etwas abzulegen, da gab es dann aber den Hinweis das openbasedir in Verwendung ist.

by, Martin

[thorben]

jup, genau so hab ich es auch

Code: Alles auswählen

php_admin_value open_basedir /var/www/:

(mit und ohne ":" und weiteren pfaden am ende probiert.)

ich kann auf /var/www1 und /var/www2 zugreifen obwohl das nicht sein dürfte

ich werde es kommende woche auf einem anderen rechner testen, kann sonst noch jemand sagen dass es bei ihm geht / nicht geht?

@blackm: dass du /tmp nicht zugreifen kannst ist klar, du solltest aber auf /home/www/domain10/htdocs zugreifen können

gruß
thorben

[blackm]

Aber es ist irgendwie merkwuerdig... open_basedir habe ich auch einen Pfad gesetzt der nicht existiert. http://man.mein-horde.de/test.php geht nicht (wie erwartet) aber http://man.mein-horde.de/index.php funktioniert?!

by, Martin

[thorben]

http://man.mein-horde.de/test.php gibt keinen open_basedir fehler sondern file not found, von daher nicht relevant. die index.php ist ja vorhanden, warum sollte sie nicht gehen?


gruß
Hannes

[thorben]

moin,
habs als bug an debian und gentoo gemeldet, es wird aufgrund von http://www.php.net/security-note.php (4. absatz) nicht als securitykritisch angesehen


http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=323585
http://bugs.gentoo.org/show_bug.cgi?id=102943

gruß
thorben