[TYPO3-UG Dutch] exec() has been disabled for security reason

Bas v.d. Wiel j.a.m.v.d.wiel at tue.nl
Fri Jan 18 10:00:51 CET 2008 

Hoi Pieter,
De functie exec() kun je gebruiken om op de server applicaties te 
starten. Dat is dan ook precies wat TYPO3 doet: het start ImageMagick, 
een externe applicatie. De definitie van "heel gevaarlijk" is natuurlijk 
wel rekbaar. Het hangt af van hoe je server is ingericht. Als je als 
hoster zorgt dat de webserver-user alleen datgene kan opstarten wat 
absoluut noodzakelijk is, dan is er vrij weinig aan de hand. Ik heb zelf 
wel eens een ongepatcht testmachientje gehad dat gehackt werd omdat een 
of andere scriptkiddie via een exploit en de exec() functie in PHP in 
staat was wget en chmod aan te roepen en zo een executable (een spambot) 
in de webdirectory te parachuteren. Dit is simpel te vermijden door 
wget, ftp, chmod, chown, touch en andere riskante commando's 
bijvoorbeeld alleen voor root uitvoerbaar te maken. En zo zijn er nog 
talloze mogelijkheden meer, zoals open_basedir of het chrooten van je 
webserver en natuurlijk het noexec, nosuid mounten van je webdirectory's 
(wat je, vind ik, altijd moet doen). Het voert even te ver om een 
compleet sluitend security-advies te gaan geven hier, maar het is zeker 
wel mogelijk om een TYPO3-server veilig te draaien met exec() gewoon 
actief. Kijk maar eens hoe ver je komt door de web shell extensie te 
installeren in TYPO3. Dat geeft je een aardig beeld van hoe veilig je 
server nog is op het moment dat iemand eenmaal toegang heeft tot de 
www-user. Waarschijnlijk kom je niet ver, want shell_exec() zal ook wel 
uitstaan.

Groeten,
Bas


Pieter Fokkema wrote:
> Ik heb het zelfde bij een hosting partij, zij zetten het uit, je kunt nu 
> imagemagick niet meer gebruiken.
> De hoster weet mij te vertellen dat exec aan hebben staan heel 
> gevaarlijk is???
>
> Met vriendelijke groeten,
> Pieter Fokkema
> Http://typo3.startkabel.nl
>
> Filip at 2point.be schreef:
>   
>>  Hallo allemaal,
>>
>> Bij een oudere Typo3 (versie 3.7) site van mij krijg ik sinds kort volgende
>> foutmeldingen:
>>
>> *Warning*: exec() has been disabled for security reasons in *
>> /var/www/html/t3lib/class.t3lib_stdgraphic.php* on line *2376*
>>
>> Wanneer ik het scherm refresh zijn deze meldingen weg. Het is al een hele
>> tijd geleden dat er nog iets werd aangepast aan de site, opeens was die
>> melding gewoon daar.  Iemand een idee waar ik moet gaan zoeken?
>>
>> mvg,
>>
>> Filip
>> _______________________________________________
>> TYPO3-UG-dutch mailing list
>> TYPO3-UG-dutch at lists.netfielders.de
>> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-ug-dutch
>>
>>
>>
>>   
>>     
>
>

More information about the TYPO3-UG-dutch mailing list