[Global-announce] Zugriffsrechte der Paket-Logfiles

Paul Hink global@hostsharing.net
Thu, 9 Dec 2004 23:35:05 +0100

Previous message: [Global-announce] Erinnerung: Loeschung des gepatchten su(1)
Next message: [Global-announce] PHP Aktualisierung
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Liebe Hostsharing-Mitglieder und -Nutzer,

die Paketadmins von Hostsharing-Paketen haben in ihrem ~/var-
Verzeichnis Zugriff auf verschiedenen Logfiles, in denen z.B. die
Zugriffe auf die dem Paket zugehörigen Webseiten protokolliert werden.

In vielen Paketen waren die Zugriffsrechte dieser Logfiles so gesetzt,
dass nicht nur der Paketadmin des jeweiligen Pakets, sondern auch
andere User des Pakets oder alle User auf dem jeweiligen Server lesend
auf die Logfiles zugreifen konnten. Dies ist vor allem dann
sicherheitskritisch, wenn in den Paketen Webanwendungen installiert
sind, die Session-IDs, Passwörter oder ähnliches als Parameter des URL
(der HTTP-Adresse) übertragen.

Soeben wurden daher die Zugriffsrechte der meisten Paket-Logfiles so
geändert, dass nur noch der jeweilige Paketadmin auf sie zugreifen
kann. Da es sich um ein akutes Sicherheitsproblem handelte, geschah
dies ohne vorherige öffentliche Ankündigung.

Für eventuelle dadurch entstandene Unannehmlichkeiten bitten wir um
Verständnis.

Es steht jedem Paketadmin frei, die Rechte der Logfiles erneut zu
ändern, jedoch geschieht dies in jedem Fall auf eigene Gefahr und es
muss damit gerechnet werden, dass die Rechte z.B. von Scripts ohne
Ankündigung zurückgeändert werden. Wir raten allgemein von einer
Änderung der Zugriffsrechte ab, solange einem nicht genau bewusst ist,
was die jeweilige Änderung bewirken würde.

Alles Gute im Namen der Hostmaster,

Paul Hink
-- 
Hostsharing e.G. - http://www.hostsharing.net/

Previous message: [Global-announce] Erinnerung: Loeschung des gepatchten su(1)
Next message: [Global-announce] PHP Aktualisierung
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]