Re: чтение чужих файлов: не стоит патчить

adept nginx-forum на nginx.us
Сб Ноя 26 11:10:27 UTC 2011


Pavel V. Wrote:
-------------------------------------------------------
> Nginx - один из немногих путей.
> В разбираемой ситуации их,
> собственно, всего "два":
> - Веб-сервер nginx, запущенный
> от имени пользователя,
>   имеющего право чтения
> "всех" файлов, в т.ч. и по
> симлинку.
> - Веб-сервер apache и его
> модули, в т.ч. mod-php, также
> запущенный от имени
> пользователя,
>   имеющего право чтения
> "всех" файлов, в т.ч. и по
> симлинку.
 -- 
> С уважением,
>  Pavel                         
> mailto:pavel2000 at ngs.ru

Собственно, не только nginx и apache, еще mysql,
но там это закрывается добавлением
local-infile=0 в my.cnf
В апаче - mpm-itk, да, он даст прочитать
тот-же passwd, но читать скрипты соседей не
даст.
А вот nginx, даст, при соответствующих
правах на файл  >=644, кои ставят почти все
панели на заливаемые файлы.
В теме ниже, выкладывал патч для nginx'a,
который закрывает эту возможность, но
патч для версии 0.5.3 и на более свежие
версии он не встанет. Буду рад помощи с
допилом)

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,219081,219098#msg-219098



Подробная информация о списке рассылки nginx-ru