[SECURITY] squirrelmail

[Krzysztof Drewicz]

On Thu, 1 Nov 2001, Michal Margula wrote:

> Nasz squirrelmail ma wiekszosc plikow ustawione na 755 http.http - nie musze
> mowic chyba, ze zadnym problemem jest podlozenie z poziomu prostego skryptu
> PHP swoich plikow, ktore np loguja gdzies hasla?
Katalog data _musi_ miec rwx dla usera http. Mozna zawsze zdjac rx 
dla other, tylko czy to cos da. Moglbys opisac scenariusz ataku? Nie 
bardzo to jakos widze, chyba ze chodzi o podstawienie jakiegos pliku 
zamiast np login.php. 
Tymczasem, do wszystkiego poza data powinno wystarczyc 'rx' 

> Sam niestety tego nie mam jak zmienic.
> 
> Pozdrawiam

hunter