Zugriffsrechte der Paket-Logfiles
Donnerstag, 9.Dezember 2004 11:14
Liebe Hostsharing-Mitglieder und -Nutzer,
die Paketadmins von Hostsharing-Paketen haben in ihrem ~/var- Verzeichnis Zugriff auf verschiedenen Logfiles, in denen z.B. die Zugriffe auf die dem Paket zugehörigen Webseiten protokolliert werden.
In vielen Paketen waren die Zugriffsrechte dieser Logfiles so gesetzt, dass nicht nur der Paketadmin des jeweiligen Pakets, sondern auch andere User des Pakets oder alle User auf dem jeweiligen Server lesend auf die Logfiles zugreifen konnten. Dies ist vor allem dann sicherheitskritisch, wenn in den Paketen Webanwendungen installiert sind, die Session-IDs, Passwörter oder ähnliches als Parameter des URL (der HTTP-Adresse) übertragen.
Soeben wurden daher die Zugriffsrechte der meisten Paket-Logfiles so geändert, dass nur noch der jeweilige Paketadmin auf sie zugreifen kann. Da es sich um ein akutes Sicherheitsproblem handelte, geschah dies ohne vorherige öffentliche Ankündigung.
Für eventuelle dadurch entstandene Unannehmlichkeiten bitten wir um Verständnis.
Es steht jedem Paketadmin frei, die Rechte der Logfiles erneut zu ändern, jedoch geschieht dies in jedem Fall auf eigene Gefahr und es muss damit gerechnet werden, dass die Rechte z.B. von Scripts ohne Ankündigung zurückgeändert werden. Wir raten allgemein von einer Änderung der Zugriffsrechte ab, solange einem nicht genau bewusst ist, was die jeweilige Änderung bewirken würde.
Alles Gute im Namen der Hostmaster,
Paul Hink
