open_basedir für Subdomains

1. offizieller Beitrag

    Hallo Liveconfig User,


    ich habe eine Frage zu der open_basedir Einstellung. Gibt es eine Möglichkeit diese open_basedir-Einstellung nicht nur pro Kunde sondern auch pro Domäne zu hinterlegen?


    Wenn ein Kunde auf seinem Webspace mehrere Sub-Domains hinterlegt hat ist es technisch möglich über PHP auch auf alle Daten der anderen Subdomains zuzugreifen. Gibt es hierzu eine Möglichkeit über open_basedir nur auf die Daten des hinterlegten Root-Verzeichnisses der Subdomain zu beschränken?


    Vielen Dank im Voraus. :)

    Nein, das ist aktuell nicht möglich: Die PHP-Konfiguration kann nur auf Vertrags-Ebene gesetzt werden.


    Auf open_basedir würde ich im Übrigen gar nicht vertrauen: Aufrufe wie 'system("cat /var/www/foo/htdocs/wp-config.php");' werden von open_basedir nicht eingeschränkt.


    Wir empfehlen unseren Kunden daher aktuell, bei relevanten Trennungen zwischen Webseiten auf verschiedene Accounts zu setzen. Linux-Dateisystem-Rechte verhindern obigen Fall nämlich sauber.

    • Offizieller Beitrag

    Je nach Patch-Stand in PHP lässt sich das sogar noch einfacher umgehen:

    Code
    ini_set('open_basedir', '..');
chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');
ini_set('open_basedir', '/');


    Ganz unnützig ist open_basedir aber auch wieder nicht, weil es einen anderen (kritischen) Angriffsvektor gibt, der nach meinem Kenntnisstand nur damit umgangen werden kann.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden