fenek 1 Report post Posted May 20, 2005 (edited) Newletter von meinem Provider: » Gefährliche Sicherheitslücken schließen In der Vergangenheit mussten immer wieder Kundenserver gesperrt werden, da sie durch Trojaner oder Virenverseuchung zu unfreiwilligen Teilnehmern eines Botnets wurden und zur Verbreitung von Spam oder zur Durchführung von sogenannten DoS-Attacken ("Denial of Service") missbraucht wurden. Bitte befolgen Sie unsere unten aufgeführten Sicherheitsempfehlungen, um potenziellen Angreifern das Leben so schwer wie möglich zu machen: In der php.ini und der Apache Webserverkonfiguration auf Ihrem Server sollten Sie die Konfigurationsvariable safe_mode stets auf on' setzen. Ist sie aktiviert, sind verschiedene sicherheitsrelevante PHP-Funktionen privilegiert oder eingeschränkt. Auf Dateien oder Verzeichnisse kann zumeist nur dann eingewirkt werden, wenn sie denselben Eigentümer haben wie das Script selbst. Benötigen Sie für ein bestimmtes Script zusätzliche Berechtigungen, können Sie diese über die Optionen safe_mode_exec_dir bzw. open_basedir setzen. Der Speicherort für temporäre Dateien wird mit der Option upload_tmp_dir festgelegt. Seit PHP 4.2.0 ist die Variable register_globals standardmäßig auf off' gestellt, damit der globale Bereich Ihrer Skripte nicht durch Benutzerdaten verunreinigt werden kann. Es wird empfohlen, stattdessen die vordefinierten Variablen von PHP zu verwenden, wie z. B. die superglobalen Arrays $_ENV, $_GET, $_POST, $_COOKIE und $_SERVER. Gerade bei den vSERVERn kam es aufgrund von Sicherheitslücken im Bulletin-Board-System phpBB leider vermehrt zu notwendigen Serversperrungen. Anwender der Foren-Software phpBB wird laut heise online empfohlen, auf die neueste Version 2.0.15 zu wechseln, in der nach Angaben der Entwickler neben kleineren Schwachstellen auch eine kritische Sicherheitslücke behoben ist. Ebenfalls implementiert wurde die Admin-Re-authentication- Funktion, die bislang nur bei phpBB Olympus enthalten war. Ich habe mir die PHP.INI mal angeschaut, und dort stehen die Einstellungen auf Safe_Mode= On Ein Risiko welches vermeidbar ist, will ma ja gar nicht erst Tor und Türe öffnen. Ich bin dort absolut nicht im Bilde, wo genau dieser besagte Safe_Mode greift, oder was man dort (Einstellungsmässig) verbessern könne.. Übrigens auch gut das wir ein IPB-Board einsetzen :w00t: Edited May 20, 2005 by fenek Share this post Link to post
Modula 0 Report post Posted May 20, 2005 lass safe_mode lieber auf off, den auf on zu setzen kann dich nur vor dir selbst schützen... Solange du weißt was die Scripte tun die du auf deinen Server packst kann ich safe_mode auf on nicht empfehlen. Schon gar nicht wenn du das IPB uneingeschränkt benutzen magst. Share this post Link to post
