[PHP-users 5218] Re: [SECURITY]:PHP4 session spoofing exploit

[Tomoyuki Asakawa]

あさかわ

 >・各ユーザのホームディレクトリ
 >/home/****
 >UIDは個々のユーザに対して別のもの
 >GIDは共通のものにする（例えば webusers）
 >また、各ホームディレクトリのパーミッションは
 >drwx-----x (701)

の場合

 >httpd.conf内にて、メインサーバとバーチャルサーバを設定
 >メインサーバ
 >User www
 >Group www

これでは、apacheは、
index.htmlすら表示できないです。

それはなんども書いてますがバーチャルサーバの
     User ****
     Group webusers
は、cgiが起動する時しか効果がないからです。

apacheは、メインサーバのUid/Gidで
ファイルをopenして、cgiを起動するときだけ
バーチャルサーバのUid/Gidを使います。

なので、メインサーバのUid/Gidでread可能に
なっている必要があります。