Apacheの「AddHandler」設定にご注意を
2015年2月27日 16:35
insiderman 曰く、 ApacheでCGIやPHPスクリプトの実行などを行うために使用される設定ディレクティブ「AddHandler」には、セキュリティ上の懸念点があるという(ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない — Dマイナー志向)。
たとえばAddHandlerで「.php」に対し「php5-script」を指定する場合、拡張子「.php」をPHPスクリプトとして実行させるよう指定しているように見えるが、実際には「aaa.php.html」など、ファイル内に「.php」という文字列が含まれているファイルすべてが対象になる。
これは、PHPスクリプトの実行が許可されているディレクトリ内にアップロードされたファイルを格納する、といったケースで問題になる。これ単体で脆弱性になるわけではないが、利用時には注意が必要だろう。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ | インターネット
関連ストーリー:
HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に 2014年12月17日
ファイアウォールなしで重要なサーバーを運用するのは普通? 2014年08月02日
本来は一般に公開されないはずのアップローダのダウンロードURL一覧が漏れる 2014年04月24日