Live Update ID und exec-Funktion

[tbruhn]

Hallo,

ich wollte erstmal die Live ID Update Funktion nutzen und habe hierfür
Lizenzen für das Live ID Update erworben.

Nachdem ich auch den Fehler "Kein Backup möglich" erhalten habe, habe ich bei meinem Hoster angefragt,
ob ich die Funktion exec für meine Projekte freischalten lassen kann.

Als Antwort bekam ich folgendes:

Die Funktion exec() müsste für Ihren betroffenen Web explizit aktiviert werden, teilen Sie uns daher mit um welchen Web es geht. Wir möchten Sie hiermit zusätzlich auf die dadurch entstehenden Sicherheitslücken für Ihre Daten hinweisen. Die Funktion exec() erlaubt das direkte Ausführen von Programmen auf dem Webspace. Der Befehl wird ausgeführt, ohne dass eine Ausgabe stattfindet. Lediglich die letzte Zeile des Befehlsresultats wird zurückgegeben, was der ideale "Nährboden" für Viren, Trojaner, etc. ist.

Wie hoch ist das Risiko wirklich, dass meine Contao Installationen ausgehebelt werden?
Kann ich dem vorbeugen? Oder ratet ihr einem Laien generell von der Aktivierung der exec-Funktion dann ab?

Danke im Voraus.

[tbruhn]

Hallo leo.unglaub,

vielen herzlichen Dank das du dir die Zeit genommen hast mir so ausführlich
zu antworten. Deine Aussagen klingen wirklich logisch.

Mein Hoster ist alfahosting (also kein kleiner Hoster)
Eigentlich bin ich recht zufrieden und die Unterstützung von Contao hat
mich eigentlich denken lassen, dass ich dort gut aufgehoben bin mit meinen Contao-Projekten.

Wie gesagt ich kenne mich linux- bzw. servertechnisch wirklich nicht aus und bin
deshalb lieber etwas vorsichtiger. Aber wenn ich deinen Post richtig verstehe,
dann kann ich dem Alfahosting-Support mitteilen, dass sie für sämtliche Pakete von mir die exec-Funktion
aktivieren können, richtig?

[tbruhn]

Wo und wie genau kann ich denn einen Test mit "print_r(exe('ls /etc'));" machen?

[xchs]

Wo und wie genau kann ich denn einen Test mit "print_r(exe('ls /etc'));" machen?

Leo meint sicherlich "print_r(exec('ls /etc'));" und nicht "print_r(exe('ls /etc'));"

[tbruhn]

Beim Aufruf über den Browser wird dann lediglich "xml" ausgegeben.
Spricht das nun für einen gut eingerichteten Server und einer bedenkenlosen Aktivierung der exec-Funktion
oder eher nicht?

Danke für eure Hilfe.

[fabil]

Jein, das ist nur bedingt richtig. Wenn deren Server richtig konfiguriert sind, kann es Problemlos aktiviert werden. Wenn deren Server jedoch falsch aufgesetzt sind (wovon ich bei dem Laden ausgehe) kann es durchaus ein Problem sein.
Du kannst den Test aber ganz einfach selbst machen. Lasse es aktivieren und mache dann ein print_r(exe('ls /etc')); Wenn du was siehst, dann haben die Mist-Server.

Viele Grüße
Leo

Hallo Leo,

so möchte ich deine Aussage nicht stehen lassen. Wieso soll es ein Sicherheitsproblem darstellen, wenn das /etc-Verzeichnis denn lesbar ist? Es kann ja durchaus sein, dass bei bestimmten Dateien die Rechte zum lesen entzogen wurden, die kritisch wären

Viel interessanter wäre es, ob man bei anderen Accounts in deren Verzeichnis reinschauen kann oder ob man sich z.B. die httpd.conf anschauen kann.