Search found 25 matches
- 20 Feb 2018, 11:09
- Forum: Software
- Topic: Sicherheit - Ausführen von beliebigem Code per Webserver möglich
- Replies: 21
- Views: 19122
Re: Sicherheit - Ausführen von beliebigem Code per Webserver möglich
Und noch einmal: In einem normalen industriellen Umfeld unter Einhaltung der gebotenen und von uns ausdrücklich empfohlenen Sicherheitshinweise liegt weder bei dem von Dir bemängeltem Script noch bei der von Wulf gefundenen Lücke eine Angriffsmöglichkeit auf das System vor. Deshalb verstehe ich nic...
- 20 Feb 2018, 00:23
- Forum: Software
- Topic: Sicherheit - Ausführen von beliebigem Code per Webserver möglich
- Replies: 21
- Views: 19122
Re: Sicherheit - Ausführen von beliebigem Code per Webserver möglich
Das wäre auch nur ein quick+dirty Workaround. Lässt sich mit überschaubarem Aufwand überwinden.
Es führt kein Weg daran vorbei, den Code zu reparieren.
- 20 Feb 2018, 00:21
- Forum: Software
- Topic: Sicherheit - Ausführen von beliebigem Code per Webserver möglich
- Replies: 21
- Views: 19122
Re: Sicherheit - Ausführen von beliebigem Code per Webserver möglich
Die Sicherheit unseres Webservers ist definitiv nicht auf den freien Zugang aus dem Internet angelegt, sondern für die Verwendung zur Konfiguration im LAN gedacht. Es ist natürlich vollkommen richtig, dass das Risiko besonders groß ist, wenn ein Gerät direkt aus dem Internet heraus erreichbar ist. ...
- 19 Feb 2018, 14:50
- Forum: Software
- Topic: Sicherheit - Ausführen von beliebigem Code per Webserver möglich
- Replies: 21
- Views: 19122
Sicherheit - Ausführen von beliebigem Code per Webserver möglich
Moin, /var/www/php/dal.php Zeile 445 hat eine Sicherheitslücke, über die man beliebigen Code auf dem RevPi ausführen kann: exec('/usr/bin/sudo /usr/bin/revpi-config ' .($configVal07 == 0 ? 'disable':'enable'). ' downclock-cpu ' . ($configVal07 == 0 ? "" : $configVal07Par00), $output, $retv...
- 01 Nov 2017, 12:05
- Forum: Profound Expert Discussions
- Topic: [HowTo] Upgrading to new python version in a clean fashion
- Replies: 1
- Views: 47971
[HowTo] Upgrading to new python version in a clean fashion
I needed a more recent (>= 3.5) python3 version on my RevPi, but there was no Raspbian/Stretch image available yet. Best way I found is to use https://github.com/pyenv/pyenv which downloads cpython sources and installs them, all with a normal user account. It also manages virtualenvs. Here's a short...