[Postfixbuch-users] Squirrelmail: Welche Files nach Installation l?schen?

Peer Heinlein p.heinlein at heinlein-support.de
Do Aug 10 12:42:07 CEST 2006


Am Donnerstag, 10. August 2006 11:18 schrieb Hannes H.:

> Nein. Ich meinte, dass man mit den administrativen Perl-Scripts
> eventuell irgend einen Unsinn von außen treiben könnte.

Dann mußt Du aber nicht das Script löschen, sondern Deinen Webserver 
richtig konfigurieren! Dann mußt Du Ursache und nicht Symptom 
bekämpfen.

Was soll es bringen ein Script zu löschen, wenn die grundsätzliche 
Möglichkeit bestehen bleibt, "böse" Kommandos auszuführen? Dann 
organisiere ich als Angreifer mir eben selbst das entsprechende Script. 
DAS ist ja nicht das Problem! Die frage ist, warum sowas dann überhaupt 
ausführbar ist!

> > Warum sollte Squirrelmail eine Datei installieren, die man dann
> > löschen muß?
>
> Das wär ja nichts neues, dass man Software am Server installiert und
> dann zB. /install löschen soll. Mambo, Typo3, ... haben solche zu
> löschenden Files.

Dann haben die keine ausreichenden Sicherheitskonzepte oder machen das 
nur aus Prinzip um schlechte Server vor sich selbst zu schützen. Aber 
auch das ist dann nur Symptombekämpfung, nicht Ursache.

Wir machen das bei Typo3 zum Beispiel nicht, sondern sichern das einfach 
lieber vernünftig. 

Wie auch immer: Mittlerweile dürfte ja auch klar sein, daß zumindest das 
bei Squirrelmail das nicht nötig ist.

Mit freundlichen Grüßen

Peer Heinlein

-- 
Heinlein Professional Linux Support GmbH
Akademie: Linux - Support - Hosting

http://www.heinlein-support.de




Mehr Informationen über die Mailingliste Postfixbuch-users