Kommentare zu: FollowSymLinks vs. SymLinksIfOwnerMatch http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/ Technik, Kram und Drumherum Wed, 30 Dec 2015 21:32:06 +0000 hourly 1 https://wordpress.org/?v=4.4.14 Von: kunan http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-230472 Fri, 25 Dec 2015 16:14:16 +0000 http://blog.jonaspasche.com/?p=1387#comment-230472 Hallo Jonas und Uberspace,

Lob und Anerkennung. Sehr großartige Arbeit!

]]>
Von: michaelspunkt http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-219153 Wed, 26 Aug 2015 07:42:03 +0000 http://blog.jonaspasche.com/?p=1387#comment-219153 Vielen Dank, dass ihr uns auch aus *euren* Fehlern lernen lasst. Ihr seid eine einzige Lehrveranstaltung.
Den Bock geschossen haben sicherheitstechnisch schon lange vorher viele andere viel größere Unternehmen. Und sie tun es laufend wieder. Offene Kundendatenbanken mit nicht gesalzenen Passwörtern finde ich n büschn krasser, als den Fall mit den FollowSymLinks…
Fetter Respekt geht mal wieder raus an: Uberspace!

]]>
Von: Anonymus http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-199652 Sun, 05 Apr 2015 12:55:07 +0000 http://blog.jonaspasche.com/?p=1387#comment-199652 Selten so eine kompetente Arbeit gesehn, Hut ab . :-)
ABER !! Der neachste Fehler kommt bestimmt :-)

]]>
Von: Jonas Pasche http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-181725 Mon, 02 Feb 2015 09:33:01 +0000 http://blog.jonaspasche.com/?p=1387#comment-181725 Wenn das so einfach wäre, wäre das schön. Ich bin schon einigermaßen konsterniert, dass der Apache da eine lange bekannte Race Condition hat und das aber offenbar nicht als zu fixenden Bug betrachtet, weil’s ja in der Doku steht, dass es den gibt. „Eine httpd-Version, in der keine TOCTOU Race-Condition beim Symlink-Check mehr enthalten ist“ existiert insofern nicht: Alle Apache-Versionen haben diesen Bug. Das Writeup ist uns wohlbekannt, und wir haben auch nahezu alles davon evaluiert. mod_ruid+jailshell: jailshell ist eine proprietäre Erweiterung von cPanel; steht nicht zur Verfügung. CageFS: auch nur für cPanel. GRSec: Das wäre halt ein ziemlicher Aufriss mit kaum überschaubaren Nebeneffekten, den von Red Hat gepflegten Enterprise-Kernel durch einen ganz anderen Kernel in ganz anderer Version zu ersetzen. RHEL-Kernel mit GRSec gibt es meines Wissens nach nicht. mod_hostinglimits ist CloudLinux-exklusiv. Der Bluehost-Patch erscheint uns noch am vielversprechendsten und dabei minimal-invasivsten, und wir arbeiten schon länger daran, den irgendwie gegen das Source-RPM des Apaches von CentOS 5 und 6 zu bauen, was aber partout nicht rund läuft. Der Rack911 ist nett und hätte uns den oben beschriebenen Aufriss erspart, in den Configs überall das FollowSymLinks zu ersetzen – fixt aber nicht die Race Condition. Unabhängig von dem Writeup hätte auch mod_itk noch gut ausgesehen, weil das quasi den ganzen VirtualHost als Zieluser bedient, nicht nur wenn’s an die Scriptausführung geht; dafür funktioniert dann aber mod_fcgid nicht mehr und damit auch PHP, was dann gar nicht mehr akzeptabel ist. Aller Voraussicht nach werden wir vermutlich vom CentOS-Apache auf einen generischen selbstkompilierten Apache mit Bluehost-Patch wechseln, sofern die dafür doch recht umfangreich durchzuführenden Tests erfolgreich verlaufen. Bis dahin müssen wir uns damit zufrieden geben, dass ein Ausnutzen der Race Condition nicht ganz trivial ist und bis zum potentiell Erfolg viele Fehler triggert, auf die dann zügig fail2ban anspringt. Das ist zwar eher die Holzhammer-Methode, aber da es halt keinen einfachen, sauberen, nebeneffektsarmen Fix gibt, muss das für den Moment reichen. Die Bluehost-Variante ist jedenfalls in Arbeit.

]]>
Von: Florian http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-179107 Tue, 27 Jan 2015 09:32:15 +0000 http://blog.jonaspasche.com/?p=1387#comment-179107 Ihr verwendet aber doch hoffentlich nun eine httpd-Version, in der keine TOCTOU Race-Condition beim Symlink-Check mehr enthalten ist. Oder schützt ihr euch anderweitig davor?

Sorry für den Link zu cPanel, aber die haben afaik das beste Writeup zur Situation: https://documentation.cpanel.net/display/EA/Symlink+Race+Condition+Protection

]]>
Von: Julian http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-112990 Wed, 22 Oct 2014 06:49:23 +0000 http://blog.jonaspasche.com/?p=1387#comment-112990 Moin,

ich bin selbst gerade drauf reingefallen und war mehr als begeistert von der Autokorrektur per Job und der darauf folgenden Infomail.

Als langjähriger Entwickler hasse ich es eigentlich, wie die Pest, wenn mir jemand in meiner Konfiguration oder Entwicklung rumfuhrwerkt. Aber in diesem konkreten Fall, den ich schlichtweg übersehen habe und der absolut reibungslosen und vor allem komplikationsfreien Behebung meines eigenen Konfigurationfehlers bin ich vollends begeistert. Das ist genau der Service den ich mir im Falle von Sicherheitslücken von meinem Hoster wünsche. Ich habe mittlerweile meinen zweiten Uberspace registriert und bin sehr Happy darüber, dass Du Jonas und deine Kollegen hier solch ein großartiges Angebot mit einem derart großartigen Service – vor allem im Troubleshooting auf die Beine gestellt habt. Ich bin echt kein Fan von unnötigem „gehype“ aber bei euch ist es einfach richtig platziert.

Danke für eure Arbeit!
Julian

]]>
Von: Jonas Pasche http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-81879 Fri, 22 Aug 2014 21:11:58 +0000 http://blog.jonaspasche.com/?p=1387#comment-81879 Hi Alexander, wir haben inzwischen einen Job, der FollowSymlinks in .htaccess-Dateien automatisch in SymLinksInOwnerMatch korrigiert und dabei dann auch eine Informationsmail versendet. Wer also z.B. nochmal ein Backup hochlädt, bekommt das sofort korrigiert und kriegt auch gleich die Info dazu.

]]>
Von: Alexander http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-81861 Fri, 22 Aug 2014 19:58:52 +0000 http://blog.jonaspasche.com/?p=1387#comment-81861 +1. Auch ich unterstütze Eure Aktion, denke aber, eine Mail wäre nett und auch notwendig, aus einem ähnlichen Grund, weshalb Ihr Option 3 gewählt habt:

Wenn jemand ein Backup einer Seite ausgräbt (oder einen andere branch per git hochlädt, oder eine bekanntermaßen funktionierende Konfiguration auf die Server schiebt, oder…), in der eine „gefährliche“ .htaccess ist, ist seine vormals funktionierende Seite plötzlich hinüber. Und möglicherweise an einer Stelle, die man nicht auf Anhieb entdeckt.
Und dann sollte er hoffentlich nicht in Urlaub fahren, nachdem er den letzten jetzt defekten stable-Stand hochgeladen hat, Minuten nachdem Ihr die WIP-Version automatisch gefixt habt…

Gruß
Alexander

]]>
Von: Fredl http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-78293 Fri, 08 Aug 2014 08:31:18 +0000 http://blog.jonaspasche.com/?p=1387#comment-78293 Hi,

Ich finde auch, daß die Vorgangsweise beim dem fix völlig in Ordnung war. Danke dafür!

Ich finde aber auch, daß eine Info-mail an die betroffenen User die eine Zeile extra Code nach find+sed wert gewesen wäre. ;)

Dann wäre ich nicht nur nebenbei über diese Info gestolpert, weil ich zufällig auf der Suche nach etwas völlig anderem jonaspasche.com direkt angesurft habe.

Bitte nicht falsch verstehen: Die Überlegungen, die Ihr angestellt habt um den perfekten Kompromiss zwischen Sicherheit und Euren Prinzipien zu finden sind schon weit mehr als manch anderer Hoster tun würde. Aber gerade dieses (wirklich hochgeschätzte!) Prinzip „Userdaten sind tabu“ hätte eigentlich zu dem Schluss führen müssen, „wenn wir schon damit brechen müssen, sollten wir es ihnen direkt sagen.“ Ein Link hierher hätte dabei genügt.

Vielleicht nur so als Vorschlag für’s nächste Mal ;)

Trotzdem danke für Euren stets tollen Einsatz!

Fredl.

]]>
Von: M Schanz http://blog.jonaspasche.com/2014/07/11/followsymlinks-vs-symlinksifownermatch/comment-page-1/#comment-76248 Thu, 31 Jul 2014 12:38:19 +0000 http://blog.jonaspasche.com/?p=1387#comment-76248 Schade eigentlich…,

… dass nicht alle Unternehmen so transparent mit Kunden umgehen wie ihr das tut.
Euch ist sicher kein Vorwurf zu machen, dass ihr diese Lücke nicht gesehen bzw. berücksichtigt habt. Auch mit der Wahl die htaccess Dateien automatisch anzupassen seid ihr meiner Meinung nach den richtigen Weg gegangen. Auch wenn ich von der Änderung nicht betroffen war, so fasse ich meinen Uberspace teilweise über mehrere Wochen hinweg nicht an. Auch meine Uberspace E-Mails lasse ich mir nicht weiterleiten und hätte von daher garnicht erst von dem Problem erfahren (oder erst wenn es zu spät gewesen wäre).

Euer Dienst ist großartig und ich hoffe dass er auch weiterhin Bestand hat!

Viele Grüße =)

]]>