ubuntuusers.de

Bug in Apache2 - Update??

Status: Gelöst | Ubuntu-Version: Server 8.04 (Hardy Heron)
Antworten |

df8oe

Anmeldungsdatum:
22. März 2006

Beiträge: 233

Wohnort: Schwaförden

Heute morgen gab es ein paar Updates für den Apachen und PHP5. Ich habe diese Updates installiert - bislang sind mir keine negativen Effekte bei solchen offiziellen Updates von Ubuntu aufgefallen.

Diesmal ist da aber was nicht ok... Und das Problem besteht auf 3 verschiedenen Servern von mir, alle mit Hardy ausgestattet...

Ich benutze Syscp, und dieses legt für jeden Virtual Host eine openbasedir restriction an für die beiden Pfade /hier/liegt/mein/Webspace/ und /tmp/. Diese beiden sind durch einen Doppelpunkt getrennt - Syntax also richtig.

Vor dem Update lief alles prima, seit dem Update bekommt der Aufruf jeder Domain die Fehlermeldung "open_basedir restriction..."

Dabei spielt es keine Rolle, ob auch tatsächlich auf /tmp/ zugegriffen wird oder "nur" auf den eigenen Webspace. Es wird irgendwie die Tatsache, daß es sich um zwei Pfade handelt, nicht richtig interpretiert.

Ist natürlich von "high priority"! Ich habe, um das Problem kurzfristig zu lösen, open_basedir ganz rausgenommen - mit mulmigem Gefühl...

Fehler bekannt? Oder hat sich die Syntax geändert, und ich finde nicht, auf was?

df8oe

JoK

Anmeldungsdatum:
2. Juli 2009

Beiträge: 77

Hi,

laut http://osdir.com/ml/debian-bugs-dist/2010-11/msg07360.html musst du die slashes am Ende der Verzeichnisse nun weglassen.

Gruß

df8oe

(Themenstarter)

Anmeldungsdatum:
22. März 2006

Beiträge: 233

Wohnort: Schwaförden

Potzblitz und Donnerschlag!!

Bislang war es so, daß ich ohne Slash am Ende nicht in Unterordner abtauchen konnte, mit ja.

Die Slashes werden von irgendeinem PHP-Script von Syscp erzeugt. Da Syscp quasi tot ist, heisst es jetzt, PHP-Code wälzen, wo der Slash angehängt wird - oder - vielleicht einfacher - eine Zeile einzufügen, die vor dem Schreiben in die vhosts-Dateien den rechten Slash einfach wegfrisst ☺

Danke für die Info - hast mir sehr geholfen!

df8oe

df8oe

(Themenstarter)

Anmeldungsdatum:
22. März 2006

Beiträge: 233

Wohnort: Schwaförden

Für alle armen Webadmins, denen jetzt der Schweiß auf der Stirn steht, die Änderung, die den Syscp wieder zum Laufen bringt.

Ich habe die Datei /syscp/scripts/cron_tasks.inc.http.10.apache.php modifiziert und angehängt. Die geänderten Stellen (zwei Stellen) sind entsprechend dokumentiert.

Diese Datei über die "Originaldatei" drüberkopieren, die Eigentumsverhältnisse so anpassen, daß die Datei den gleichen Eigentümer hat, wie die anderen Dateien.

Dann in Syscp einloggen, bei irgendeiner Doamin den Schalter safemode einmal ändern, speichern und wieder zurückändern, dann wieder speichern. Hintergrund: erst bei einer Änderung schreibt der Cronlauf die VHost-Configs neu ☺

Nun noch warten, bis der Cronlauf einmal durch ist, und - tadaaaaaa!

Funzt wieder ☺

df8oe

cron_tasks.inc.http.10.apache.php (31.3 KiB)
Download cron_tasks.inc.http.10.apache.php

JoK

Anmeldungsdatum:
2. Juli 2009

Beiträge: 77

Steve Beattle schrieb USN-1042-2:

Details follow:

USN-1042-1 fixed vulnerabilities in PHP5. The fix for CVE-2010-3436 introduced a regression in the open_basedir restriction handling code. This update fixes the problem.

We apologize for the inconvenience.

Original advisory details:

It was discovered that attackers might be able to bypass open_basedir() restrictions by passing a specially crafted filename. (CVE-2010-3436)

df8oe

(Themenstarter)

Anmeldungsdatum:
22. März 2006

Beiträge: 233

Wohnort: Schwaförden

Das hatte ich irgendwie alles nicht mitbekommen, obwohl ich mich per Feeds und auf den entsprechenden Seiten aktuell halte.

Inzwischen geht aber auch alles wieder.

df8oe

df8oe

(Themenstarter)

Anmeldungsdatum:
22. März 2006

Beiträge: 233

Wohnort: Schwaförden

...und es war doch keine Absicht, sondern ein BUG.

Heute morgen kamen wieder Updates für php5. Daraufhin habe ich die alte Konfig testweise wiederhergestellt - jetzt läuft openbasedir auch wieder mit Slashes am Ende!!!!

df8oe

JoK

Anmeldungsdatum:
2. Juli 2009

Beiträge: 77

Die Updates kamen gestern Mittag schon, deswegen hatte ich das USN gepostet 😉

Das Board hat irgendwie nur meinen Edit gefressen, in dem ich deine Bugvermutung bestätigte und nicht nur den nackten Quote hatte ☹

USN-1042-1 hatte den Bug mit open_safedir, USN-1042-2 hat ihn behoben.

df8oe

(Themenstarter)

Anmeldungsdatum:
22. März 2006

Beiträge: 233

Wohnort: Schwaförden

Das hatte ich so in der Tat nicht verstanden! Der Appetit des Boards hat halt wesentliche Infos verschlungen.. Da ich die Update-Läufe auf meinen Servern in die frühen Morgenstunden gelegt habe, bekomme ich immer erst nach dem Aufstehen mit, ob sich was getan hat 😉

df8oe

Antworten |