Und noch einmal: In einem normalen industriellen Umfeld unter Einhaltung der gebotenen und von uns ausdrücklich empfohlenen Sicherheitshinweise liegt weder bei dem von Dir bemängeltem Script noch bei der von Wulf gefundenen Lücke eine Angriffsmöglichkeit auf das System vor. Deshalb verstehe ich nic...

Axel wrote: ↑19 Feb 2018, 23:44 Ich empfehle dringenst die authorisation via .htaccess für alle vom webserver genutzten Bereiche zu aktivieren.

Das wäre auch nur ein quick+dirty Workaround. Lässt sich mit überschaubarem Aufwand überwinden.
Es führt kein Weg daran vorbei, den Code zu reparieren.

Die Sicherheit unseres Webservers ist definitiv nicht auf den freien Zugang aus dem Internet angelegt, sondern für die Verwendung zur Konfiguration im LAN gedacht. Es ist natürlich vollkommen richtig, dass das Risiko besonders groß ist, wenn ein Gerät direkt aus dem Internet heraus erreichbar ist. ...

Moin, /var/www/php/dal.php Zeile 445 hat eine Sicherheitslücke, über die man beliebigen Code auf dem RevPi ausführen kann: exec('/usr/bin/sudo /usr/bin/revpi-config ' .($configVal07 == 0 ? 'disable':'enable'). ' downclock-cpu ' . ($configVal07 == 0 ? "" : $configVal07Par00), $output, $retv...

I needed a more recent (>= 3.5) python3 version on my RevPi, but there was no Raspbian/Stretch image available yet. Best way I found is to use https://github.com/pyenv/pyenv which downloads cpython sources and installs them, all with a normal user account. It also manages virtualenvs. Here's a short...