[PHP-users 5011] Re: [SECURITY]:PHP4 session spoofing exploit

[Tomoyuki Asakawa]

あさかわ

> httpd.conf
> 顧客毎にVitualHostを作り、httpdのUIDを
> 別にします。必要であれば、GIDも別にします。

つまり、suexecで動作させるということですよね。
しかし、この状態では、モジュール版のphpは
VirtualHostで定義した、UID/GIDでは動作しません
httpd.confの、デフォルトのUID/GIDで動作します。

 >ユーザーは各自のUID/GIDでファイルを作成します。
 >実行できる関数、パーミッション等を適切に設定すれば、Web
 >サーバーからのコンテンツの書き換えも防げます。

なのでこれが期待できないのです。

＃もちろん、コマンド版であれば、suexeの仕組みで
＃VitualHostのUID/GIDで動作します。

>
> IPC/shared memの問題が無ければ、chrootで複数のhttpdを
> 動作させると言う方法も可能かも知れません。
>

これをするには、顧客別に、グローバルIPが必要になってしまうので
難しいのですねえ。