ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] Option Includes - some security issues



On Mon, Oct 12, 1998 at 10:16:43AM +0400, Alex Tutubalin/Apache-RUS team wrote:
> > > 
> > > Да, но ведь право класть CGI можно и не давать. Только проверенные
> > > скрипты. 
Я написал на http://bugs.apache.org change-request 
и получил такой вот ответ:

If you don't want people to be able to execute things
from SSIs, use "Options IncludesNoEXEC".  They can still
use include virtual to execute CGIs from ScriptAliased
directories since htat isn't really calling a CGI, but
just calling an arbitrary document that already is treated
as a CGI

(простыми словами - извините если и так все все поняли)
включается IncludesNoEXEC и можно звать все из /cgi-bin/
но звать как <!--#include virtual="/cgi-bin/myscript"-->
При этом /cgi-bin/ должна быть объявлена как
ScripAlas /cgi-bin/ /path-to/cgi-bin/

(если описать как <Directory /path/cgi-bin>SetHandler cgi-script 
то работать нихрена не будет)

Проблемы. Имеется проблема с MultiViews (который, правда, все-равно
в наших условиях использовать нельзя). Проблема заключается в том, что
если имеется, скажем /cgi-bin/test.ru (с default lang ru)
то при
Options Includes MultiViews
работают все 4 варианта:
exec cgi="/cgi-bin/test"
exec cgi="/cgi-bin/test.ru"
include virtual="/cgi-bin/test"
include virtual="/cgi-bin/test.ru"


А для Option MultiViews IncludesNoExeс работает только последний из 4-х (хотя
должны два последних)


Непорядок. Я написал об этом to Marc Slemko (он ответил на предшеств. bugrepot),
посмотрим что будет.


Alex

=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =



 




Copyright © Lexa Software, 1996-2009.