Symlink Protection

[dinosn]

Olá,

 

Temos visto discussões em fóruns como cPanel e WHT USA sobre Symlink Protection no Apache. Aparentemente existe uma falha de segurança que faz com que usuários comuns, em servidores compartilhados, crie links simbólicos e tenha acesso fora do seu diretório /home. Entendo como crucial a atenção sobre isso.

 

Informações em: http://etwiki.cpanel.net/twiki/bin/view/EasyApache/Apache/SymlinkPatch

 

Mais alguém tem informações sobre este módulo, e/ou fez sua implementação?

 

Provedores, fiquem atentos sobre isso!

 

 

Abraço

[chuvadenovembro]

Estava verificando e parece ter somente em servidores com php 5.3, na versão 5.2, não tem essa opção.

[Jesmarcelo]

Já recompilei em meus servidores marcando esta opção :)

[chuvadenovembro]

Em um dos meus servidores, recebi essa resposta do gerenciamento e aceitei a sugestão passada por eles, pois no próprio link do cpanel é informando sobre o comprometimento da performance, resta saber se a alternativa é eficiente...

 

Hello,
To enable Symlink Race condition protection through easy apache will slow the performance of your server. So it's not better to enable "Symlink Race Condition Protection" through easy apache in the server. The easy way to sort out this issue is to disable 'FollowSymLinks' from apache global configuration and also it's the better way to solve this issue too. So please update us if you need to disable this 'FollowSymLinks' option from apache global configuration file.

[chuvadenovembro]

Vejam a atualização que saiu hoje p/ csf:

 

6.02 - Modify MESSENGER HTML header to return code 403 instead of 200

         Modify UI daemon to fallback to IPv4 if IPV6 setting is not enabled

	 Added new options LF_SYMLINK and LF_SYMLINK_PERM. This feature enables
	 detection of repeated Apache symlink race condition triggers from the
	 Apache patch provided by:
	 http://www.mail-archive.com/dev@httpd.apache.org/msg55666.html
	 This patch has also been included by cPanel via the easyapache option:
	 "Symlink Race Condition Protection"

 

Acho conveniente comentar algo sobre este symlink

 

No final de semana ao fazer uma simples migração, mesmo com cloudlinux, o cxs me enviou um email dizendo que a conta que eu estava migrando (pelo sistema nativo do whm), acusou um possivel ataque por symlink, depois disso, desencadeou vários processos root onde o cxs aparentemente tentava conter o ataque, mas sem sucesso no servidor heheheh

 

Consequentemente a carga subiu até o numero 1000.00 em poucos minutos.

 

Conclusão, servidor inacessivel, onde fui obrigado a forçar o reinicio...

 

Uma simples migração heim :S

[Alexandre Duran]

Vejam a atualização que saiu hoje p/ csf:

 

 

Acho conveniente comentar algo sobre este symlink

 

No final de semana ao fazer uma simples migração, mesmo com cloudlinux, o cxs me enviou um email dizendo que a conta que eu estava migrando (pelo sistema nativo do whm), acusou um possivel ataque por symlink, depois disso, desencadeou vários processos root onde o cxs aparentemente tentava conter o ataque, mas sem sucesso no servidor heheheh

 

Consequentemente a carga subiu até o numero 1000.00 em poucos minutos.

 

Conclusão, servidor inacessivel, onde fui obrigado a forçar o reinicio...

 

Uma simples migração heim :S

 

Melhor isso que ter o servidor invadido Chuva. Aqui já estou compilando todos os servidores com a proteção.

Mas o detalhe é que aumenta sim um pouco o load do servidor, mesmo sem ataque algum.

 

O load em si parece ser I/O apenas.