[PHP-users 4995] Re: [SECURITY]:PHP4 session spoofing exploit

Youichi Iwakiri php-users@php.gr.jp
Fri, 25 Jan 2002 19:54:22 +0900


いわきりです

Yasuo Ohgaki wrote in <3C4DEE02.6010709@yahoo.co.jp>:
 >もっと古いバージョンでも同じです。
 >もっとも、PHP 4.0.4pl1より古いバージョンを使うのは問題外ですが、、
 >あまりに明らかなセキュリティーリスクなので最近まで明記されていま
 >せんでしたが、一般ユーザーがshell accessしない環境であれば、リ
 >スクはそれほど高くありません。

session情報に関しては、
session_save_pathの変更
パーミッションの変更
safe_mode=On
で隠蔽できますが、個々の利用者のファイルの隠蔽は難しいですね。

safe_mode=Onであったとしても
PHPによって処理されるスクリプトのuid,gidをみて当該スクリプトから
呼ばれるファイルのuid,gidが一致している場合のみ参照可能としています。
あくまで、PHPによる内部処理で弾かれるだけで、ファイル自体の
パーミッションはグループまたはワールドに参照権を付加することになるので
localユーザからは丸見えですね。ログインを許さなくてもPHP以外の言語
(たとえばperl)が利用可能であれば、簡単に情報を見ることができます。

Apache2に期待というところでしょうか。

#レンタルサーバ屋さんはどうやって共有サーバ資源のセキュリティを
#確保しているのか興味あるところです。