Re: чтение чужих файлов: не стоит патчить
adept
nginx-forum на nginx.us
Сб Ноя 26 11:10:27 UTC 2011
Pavel V. Wrote:
-------------------------------------------------------
> Nginx - один из немногих путей.
> В разбираемой ситуации их,
> собственно, всего "два":
> - Веб-сервер nginx, запущенный
> от имени пользователя,
> имеющего право чтения
> "всех" файлов, в т.ч. и по
> симлинку.
> - Веб-сервер apache и его
> модули, в т.ч. mod-php, также
> запущенный от имени
> пользователя,
> имеющего право чтения
> "всех" файлов, в т.ч. и по
> симлинку.
--
> С уважением,
> Pavel
> mailto:pavel2000 at ngs.ru
Собственно, не только nginx и apache, еще mysql,
но там это закрывается добавлением
local-infile=0 в my.cnf
В апаче - mpm-itk, да, он даст прочитать
тот-же passwd, но читать скрипты соседей не
даст.
А вот nginx, даст, при соответствующих
правах на файл >=644, кои ставят почти все
панели на заливаемые файлы.
В теме ниже, выкладывал патч для nginx'a,
который закрывает эту возможность, но
патч для версии 0.5.3 и на более свежие
версии он не встанет. Буду рад помощи с
допилом)
Posted at Nginx Forum: http://forum.nginx.org/read.php?21,219081,219098#msg-219098
Подробная информация о списке рассылки nginx-ru