[SECURITY] squirrelmail

[Michal Margula]

[pi±tek, 02 listopad 2001], Krzysztof Drewicz napisa³(a):

> 
> On Thu, 1 Nov 2001, Michal Margula wrote:
> 
> > Nasz squirrelmail ma wiekszosc plikow ustawione na 755 http.http - nie musze
> > mowic chyba, ze zadnym problemem jest podlozenie z poziomu prostego skryptu
> > PHP swoich plikow, ktore np loguja gdzies hasla?
> Katalog data _musi_ miec rwx dla usera http. Mozna zawsze zdjac rx 
> dla other, tylko czy to cos da. Moglbys opisac scenariusz ataku? Nie 
> bardzo to jakos widze, chyba ze chodzi o podstawienie jakiegos pliku 
> zamiast np login.php. 
> Tymczasem, do wszystkiego poza data powinno wystarczyc 'rx' 

chodzi o pliki php ktore nie wiadomo dlaczego maja 775 i wlasciciela
http.http. wystarczy zmiana na 644 root.root. kropka.

-- 
Micha³ Margula, alchemyx at uznam.net.pl, ICQ UIN 12267440, +)
http://uznam.net.pl/~alchemyx/, administrator polskiej sekcji Linux Counter
"W ¿yciu piêkne s± tylko chwile" [Ryszard Riedel]
<arekm> w³±czam icq: alchemyx, w³±czam irca: alchemyx, a¿ bojê otworzyæ lodówkê