发布日期：2000-05-25
更新日期：2000-05-26

受影响系统：

  Cobalt RaQ 3.0
  Cobalt RaQ 2.0

描述：

---

Apache Web Server以用户"httpd"的身份运行。Cobalt使用cgiwrap限制各个CGI程序
以各自的属主身份运行，而不是"httpd"，但是这个限制很容易绕过，使得各个脚本
以"httpd"身份运行。一般Apache配置文件里有一行"AllowOverride All"，因此可以
相当容易地绕过cgiwrap的限制，你所需要做的仅仅是创建含有如下内容的
.htaccess 文件：

Options +ExecCGI
AddHandler cgi-script .cgi

此时同一目录下的CGI程序将以WWW服务所对应的身份运行，一般是"httpd"。

Apache配置文件中 AllowOverride 行里相对安全的设置是AuthConfig、Indexes 和
Limit。

同样，如果Apache配置文件里有一行"AllowOverride All"，则
"Disable CGI Scripts" 和 "Disable Server Side Includes"限制也是没有意义的，
因为它们都可以通过 .htaccess 文件绕过。

<* 来源：Chris Adams cmadams@hiwaay.net *>




建议：

---

暂无

浏览次数：6693
严重程度：0（网友投票）