ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: 1.1.15 - картинки.



On Monday 20 February 2012 02:46:57 adept wrote:
> Насколько я понял, толку от disable_symlinks -
> 0.0%, ибо нормально использовать его не
> выйдет.
> И исправлять это ни кто не собирается.
> 

Вам шашечки или ехать? К сожалению, в настоящий момент на Linux системах нету 
флагов O_SEARCH/O_EXEC для открытия каталога, поэтому чтобы проверить 
отсутствие 
симлинков открывать все промежуточные директории приходится с O_RDONLY.

Так, что если хотите проверять симлинки, то необходимо давать nginx права на 
чтение всех промежуточных каталогов. Реальной угрозы безопасности в этом IMHO 
нету.

В ближайшее время выйдет патч исправляющий ситуацию на Solaris, FreeBSD 8 и 
выше, 
а также некоторых bleeding edge Linux-дистрибутивов (типа Arch Linux, где уже 
появился флаг O_PATH).

Частичным решением проблемы могла бы стать возможность явного указания каталога 
от которого начинать проверку симлинков, но таковая требует ещё значительного 
времени и усилий на реализацию. Так что рекомендую поставить +r и набраться 
терпения.

--
Валентин Бартенев
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.