Liebe Liste, >> Naja. Ein normaler Nutzer, der über Port 80 >> kommt, kommt ja gar nicht an den Interpreter >> heran, weil der typischerweise *nicht* unter >> wwwroot liegt.
> Ich habe hier nicht den normalen Nutzer > simuliert sondern Indianer gespielt. D. h. > perl liegt bei mir auch nicht in der webroot: > [G4:~] cvoelker% which perl > /usr/bin/perl > Und der Apache laeuft als Nutzer www, welcher > wiederum einziges Mitglied der Gruppe www ist. Du hast da wohl in der ersten Verblüffung ein Problem gesehen, wo da wirklich keins ist. Es wäre für CGIs im Allgemeinen wohl doch eher fatal, wenn apache (selbst als nobody/nogroup) kein Perl als solches ausführen könnte, weil ../whatever/perl auf r-xr-xr-- steht. Problematisch sind doch eher alle Derivate von (Pseudocode) my $variabel_aus-form # möglichst aus POST :-( system '$variabel_aus-form' # Hacker ruft rm -r system 'perl $variabel_aus-form' # Hacker codet es halt in Perl Mit freundlichen Gruessen, Martin Ebert -- http://www.klug-suchen.de/ http://www.bahnsuche.de/ http://www.wb-online.de/ -------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------
