[TYPO3-UG Berlin] Typo3 Extension indexed_search

Bodo Eichstädt bodoeichstaedt at gmail.com
Wed Oct 23 16:10:59 CEST 2013 

safe_mode war immer lückenhaft und rückwirkend betrachtet eine Totgeburt.
Eine Barriere, die sich im Manual der PHP-Macher wie eine wirksame Rüstung
liest, in Wahrheit aber eher die Sicherheit von Papier hat. Ja, OK, die
Chinesen hatten wohl auch Rüstungen aus Papier genutzt, aber das mal aussen
vor.
Die Lückenhaftigkeit war extrem und wurde wieder und wieder gefixt,
ergänzt.... bis schließlich die Macher von PHP entschlossen: ab PHP 5.4
kein safe_mode mehr!
Parallel dazu hatte TYPO3 immer ein Problem mit safe_mode (ImagaMagick,
Search, Mail, PDF gen, ...). Andere große PHP basierten Softwarepakete
haben manchmal den safe_mode im Kopf gehabt und deshalb entsprechend im
Core und in Plugins für Kompatibilität gesorgt/erwünscht (Joomla in den
Tagen als die aus der Mambo Security Hölle gekommen sind z.B.). Anders
TYPO3. In TYPO3 Version 4.6 wird auch hier der Support gestrichen. Vor dem
Hintergrund aus dem PHP Lager ein verständlicher Entschluss.

Für Risiken und Nebenwirkungen lesen Sie nicht nur die Packungsbeilage,
sondern fragen Sie auch Google und einen langjährigen Server-Admin. ;-)

vg,
Bodo


2013/10/23 Schallenberg, Klaus <Klaus.Schallenberg at geobasis-bb.de>

> Hallo,
>
> I would like to request support for a security issue we have with the
> configuration of the Typo3 extension "indexed_search".
>
> The issue is that the files "pdftotext" and "pdfinfo" are required to be
> in folder "/usr/bin/" in order to perform an index search in pdf documents.
> But in our environment it's not allowed to share that folder "/usr/bin/" in
> the configuration file of the apache webserver.
>
>       ### Begin: PHP optimisation ###
> # list of directories where require(), include() and fopen_with_path()
> look for files
>             php_admin_value include_path
> /var/www/intranet/:/var/www/cms/typo3_src:/usr/share/php:/usr/share/pear:/usr/share/typo3/typo3_src-4.5:/usr/bin
>
> Unfortunately in the current PHP-version it's not working to set symbolic
> links in the PHP-Configuration with an option of "safe_mode". Our versions
> are
>
> -          Debian 7.2 wheezy
>
> -          PHP 5.44
>
> -          MySQL 5.5.31
>
> -          Typo3 Version 4.5.19
>
> cd /var/www/intranet/fileadmin/search/
> ln -s  /usr/bin/pdftotext pdftotext
>
> Until now I copied the files "pdftotext" and "pdfinfo"  from "/usr/bin/"
> to a web server folder (e.g. "/var/www/intranet/fileadmin/search/ ") and
> there they were executed.
> But after every update of Debian they were not up to date anymore and had
> to be copied again.
>
> Could you provide a possible solution to get rid of this workaround? Best
> would be with symbolic links without sharing the folder "/usr/bin/".
>
> Thanks a lot in advance!
>
>  Best regards
> Klaus Schallenberg
> Landesvermessung und Geobasisinformation Brandenburg
> Dezernat 13.2 Technologische Erneuerung
> Herr Klaus Schallenberg
> Robert-Havemann-Str. 4, 15236 Frankfurt (Oder)
> Mail: Klaus.Schallenberg at geobasis-bb.de<mailto:
> Klaus.Schallenberg at geobasis-bb.de>
> Tel.: (03 35) 55 82 - 542
> Fax.: (03 35) 55 82 - 509
> http://www.geobasis-bb.de<http://www.geobasis-bb.de/>
>
> Hallo,
>
> ich wende mich an Sie mit der Bitte um Unterstützung bei einem
> Sicherheitsproblem zur Konfiguration der Typo3 Exension "indexed_search".
> Für die Indexsuche in z.B. pdf-Dateien werden die Programmdateien
> pdftotext und pdfinfo in /usr/bin/ benötigt.
> Aus Sicherheitsgründen soll das Verzeichnis /usr/bin/ in der
> Konfigurationsdatei des Apache-Webservers nicht freigeben werden.
>
>
>       ### Begin: PHP optimisation ###
> # list of directories where require(), include() and fopen_with_path()
> look for files
>             php_admin_value include_path
> /var/www/intranet/:/var/www/cms/typo3_src:/usr/share/php:/usr/share/pear:/usr/share/typo3/typo3_src-4.5:/usr/bin
>
>
> Symbolische Links in der PHP-Konfiguration mit einer Option von
> "safe_mode" funktionieren in der aktuellen PHP-Version leider auch nicht
> mehr.
>
>
>
> -          Debian 7.2 wheezy
>
> -          PHP 5.44
>
> -          MySQL 5.5.31
>
> -          Typo3 Version 4.5.19
>
>
> cd /var/www/intranet/fileadmin/search/
>
> ln -s  /usr/bin/pdftotext pdftotext
>
>
>
> Bisher hatte ich die entsprechenden Dateien von /usr/bin/ in das
>  Dokumentverzeichnis des Webservers z.B./var/www/intranet/fileadmin/search/
> kopiert und dort ausgeführt.
>
> Nachteil: Die Programmdateien sind nach jedem Update von Debian nicht mehr
> aktuell und müssten erneut kopiert werden.
>
>
>
> Kann mir jemand eine Lösung für mein Problem anbieten, am besten mit
> symbolischen Links ohne das gesamte Verzeichnis /usr/bin/ freigeben zu
> müssen?
>
>
>
> Vielen Dank im Voraus.
>  Mit freundlichen Grüßen
>  Klaus Schallenberg
> Landesvermessung und Geobasisinformation Brandenburg
> Dezernat 13.2 Technologische Erneuerung
> Herr Klaus Schallenberg
> Robert-Havemann-Str. 4, 15236 Frankfurt (Oder)
> Mail: Klaus.Schallenberg at geobasis-bb.de<mailto:
> Klaus.Schallenberg at geobasis-bb.de>
> Tel.: (03 35) 55 82 - 542
> Fax.: (03 35) 55 82 - 509
> http://www.geobasis-bb.de<http://www.geobasis-bb.de/>
>
> _______________________________________________
> TYPO3-berlin mailing list
> TYPO3-berlin at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-berlin
>

More information about the TYPO3-berlin mailing list