ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - このブログはURLが変更になりました

元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン

[tmatsuu]

ざっくり書いた。怖い

[ockeghem]

複数拡張子の脅威の説明。拙著ではこの問題に備えて、アップロードしたファイルを直接ドキュメントルート下におかないこととファイル名の付け替えを推奨しています

[kanmimono]

アップローダーなんかの任意のファイルが作成できるようなものだとそれが実行されるかもねって話

[xxxx7]

phpのドキュメントの方にも書いてる。http://php.net/manual/ja/install.unix.apache2.php　の8番。

[Kenji_s]

この仕様、知らない人いっぱいいるのか... http://blog.ohgaki.net/a_a_ia_ca_la_a_a_a_lphpa_sa_ma_oa_a_a_ua 参照。remiのPHPはSetHandlerになっていた

[ngsw]

動かない不具合よりも意図せず動く不具合はもっと怖い……(というか仕様か)

[ebo-c]

最近の設定例にFilesMatchが頻出するのはこの仕様のせいかな。web fontとかのCORSとか

[ozuma]

AddHandlerしていると、.php.pngで.phpとみなされてしまう……こ、これは知らなかったぁー

[fulabo77]

“/etc/httpd/conf.d/php.conf”

[takuya_1st]

セキュリティというか、拡張子のマッチ処理ってソウイウもんじゃないの tar.gz とか gz で判別されたら困るじゃん的な。.php.back , backup.php みたいな適当な名前のが実行されるってことだけどな

[hirorock]

“AddHandler php5-script .php”で、aa.php.htmlも該当してしまう…気をつけないと

[azuuun]

“AddHandler”

[m_m3zono]

知らなかった。ダメな例で解説してるサイト（レンサバのヘルプとかも含め）多い、というかほとんどそうじゃないかと

[artzt]

対策 元ブログでや上記Apache公式ドキュメントでもFilesMatchとSetHandlerを組み合わせて使えと書かれていた。 SetHandler application/x-httpd-php SetHandler application/x-httpd-php-source 上記RHEL/CentOSのphp.confも、とりあえずFilesMatch

[kibitaki]

うむ。

[nlogn]

他人に勝手にファイルを置かせないサーバであれば，多重拡張子の禁止は逆にセキュリティリスクになる場合もあるし，不便でもある。→ apache 多重拡張子 http://ya.maya.st/d/201502c.html#d20150223

[rryu]

アップロードされたファイルを置くディレクトリで Options -ExecCGI すればいいだけだと思うのだが……

[bleu-bleut]

apacheの仕様上、例えば画像ファイルとしてアップロードしたtest.php.pngなどがphpファイルとして認識されるため、アップローダーでファイル名を変更しないでドキュメントルートに保存すると実行される危険。

[beingiiqe]

ざっくり書いた。怖い

[deep_one]

…なんでセキュリティー上の懸念になるかという点を考えると、自分が管理する案件ではまるで関係ないという事に気付いた。急がずに対策しよう。

[akahigeg]

ナニコレ

[elf]

これはマズい人多いはずだダダダダ！！ #security #apache #httpd

[mabots]

addhandler

[YAK]

AddHandler例がphpなのがシブい

[szks]

AddHandler hogehoge .extが、filename.ext.xyzにもマッチするって話。なんでこんな仕様になってんだか。コンテントネゴシエーションの関係かなぁ。

[toaruR]

AddHandler なんてつかまくってるわ＼(^o^)／

[uunfo]

まじか

[wdr_s]

これは危険…

[raimon49]

FilesMatchで囲う。

[rti7743]

AddHandlerの作りがしょぼいなあ。 拡張子でstrcmpではなくて、strstrみたいな感じのマッチなのかな。ソース読まないとなんともいえないけど。

[C_L]

原理説明が鬼めんどくさい奴

[indication]

見直す

[ot2sy39]

どんな意図でこういう仕様になってるんだろ。

[kijtra]

レンサバだとどうしようもないだろうけどね…制限きつすぎて htaccess で FilesMatch とか使えなかったりするし。