Mögliche Angriffe
PHP als CGI-Version zu nutzen, ist eine Möglichkeit
für Installationen, bei denen aus irgendwelchen Gründen kein Modul in
die Serversoftware eingebunden werden soll (wie beim Apache) oder für
Systeme, bei denen verschiedene CGI-Wrapper genutzt werden sollen,
um sichere chroot- und setuid-Umgebungen fürr Skripte zu schaffen.
Bei dieser Konfiguration wird das ausführbare PHP-Binary üblicherweise
im cgi-bin-Verzeichnis des Webservers installiert.
CERT-Advisory » CA-96.11
spricht sich gegen die Platzierung von Interpretern im cgi-bin-Verzeichnis
aus. Obwohl das PHP-Binary als eigenständiger Interpreter
verwendet werden kann, wurde PHP so entwickelt, um den durch diese
Konfiguration möglich werdenden Angriffe vorzubeugen:
-
Zugriff auf Systemdateien: http://my.host/cgi-bin/php?/etc/passwd
Die auf ein Fragezeichen (?) folgende Abfrageinformation in einer
URL wird durch das CGI-Interface als Kommandozeilenargument an den
Interpreter weitergereicht. In der Kommandozeile wird üblicherweise
die im ersten Argument angegebene Datei von Interpretern geöffnet
und ausgeführt.
Beim Aufruf als CGI-Binary verweigert PHP die Interpretation der
Kommandozeilenargumente.
-
Zugriff auf beliebige Web-Dokumente auf dem Server: http://my.host/cgi-bin/php/secret/doc.html
Der Teil der URL-Pfadinformation nach dem Namen der PHP Binärdatei,
/secret/doc.html, wird im
Allgemeinen benutzt, um den Namen der Datei zu übergeben,
die durch das CGI-Programm geöffnet und
interpretiert werden soll.
Normalerweise werden einige Einträge in der Konfigurationsdatei
des Webservers benutzt (Apache: Action), um Aufrufe von Dokumenten
wie http://my.host/secret/script.php
an den PHP-Interpreter umzuleiten. Bei dieser Konfiguration
überprüft der Webserver zuerst die Zugriffsrechte im Verzeichnis
/secret und erstellt anschließend
den umgeleiteten Aufruf http://my.host/cgi-bin/php/secret/script.php.
Unglücklicherweise wird, wenn der Aufruf bereits in dieser Form
geschieht, vom Webserver keine Zugriffsüberprüfung der Datei
/secret/script.php, sondern
lediglich der Datei /cgi-bin/php
vorgenommen. So ist
jeder Benutzer, der auf /cgi-bin/php
zugreifen darf, in der Lage, sich zu jedem geschützten Dokument
auf dem Webserver Zugriff zu verschaffen.
Bei PHP können beim Kompilieren die Konfigurationsdirektiven cgi.force_redirect,
doc_root und user_dir
benutzt werden, um diesen Angriff zu verhindern, falls
der Verzeichnisbaum des Servers Verzeichnisse mit
Zugriffsbeschränkungen beinhaltet.
Ausführliche Informationen über die verschiedenen Kombinationen
sind weiter unten beschrieben.