Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 20 von 20
  1. #11
    Erfahrener Benutzer
    Registriert seit
    06.11.2012
    Beiträge
    232
    Ja, ich sehe aber trotzdem keinen Bug bei Liveconfig. /usr/lib/liveconfig/uploadscan.sh läuft bei uns sauber durch (mit 5.6)
    Geändert von suppenuser (21.02.2020 um 09:24 Uhr)

  2. #12
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.651
    Der Upload-Scan ist über die suhosin-Erweiterung realisiert.

    Ich habe das eben mal unter Debian 10 mit PHP 5.6.40 getestet - eine Textdatei und einmal die Eicar-Testsignatur hochgeladen. Die Virus-Erkennung hatte geklappt, die andere Datei wurde fehlerfrei angenommen.

    - wie läuft PHP bei Ihnen? FPM oder FastCGI?
    - was passiert, wenn Sie als Web-User das uploadscan-Script ausführen?
    (also z.B. mit "su -s /bin/bash <Vertrag>" in einen User wechseln, dann uploadscan.sh mit einer Datei innerhalb des User-Webspaces ausführen)
    - klappt der File-Upload mit anderen PHP-Versionen?

  3. #13
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.651
    Um das noch klarzustellen: in PHP 7 gibt es keinen Mechanismus, um hochgeladene Dateien automatiscn (erzwungen) zu scannen. Suhosin für PHP 7 hat leider nie das Alpha-Stadium verlassen. :-(

  4. #14
    Erfahrener Benutzer
    Registriert seit
    06.11.2012
    Beiträge
    232
    Hi,

    das ist korrekt ;-)
    Die Gefahren im Upload kann man (IMHO sollte man) aber in der Regel mit maldet (Stichwort inotify) großenteils ausschalten.

    Maldet ist mit Anleitung unter https://www.rfxn.com/projects/linux-malware-detect/ zu finden.

    Gruß Ralf

  5. #15
    Benutzer
    Registriert seit
    25.07.2013
    Beiträge
    40
    Wir haben einen Kunden, welcher einen eigenen Server für sein Shop-System nutzt auf welchem derzeit (leider) noch PHP 5.6 zwingend notwendig ist. Gibt es eine Möglichkeit, den Upload-Check an anderer Stelle zu deaktivieren (außer als Quick&Dirty-Variante wie im ersten Posting beschrieben? Mit einem Einfügen von "echo 1", "exit" am Dateianfang des Prüfscriptes läuft der Upload problemlos durch, allerdings wird "/usr/lib/liveconfig/uploadscan.sh" bei LiveConfig-Updates überschrieben. Daher wäre eine dauerhafte Deaktivierung wünschenswert, solange die Shop-Software noch nicht mit höheren PHP-Versionen läuft.

  6. #16
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    484
    Ich schließe mich hier an. Auch wir haben noch einige wenige Kunden mit genau dem selben Problem. Debian 10, PHP 5.6, kein Upload möglich. Da wir die Kunden nicht zwingen können, eine andere Software zu nutzen, diese aber auch nur ungern verlieren wollen, wäre eine Lösung von Vorteil.

  7. #17
    Erfahrener Benutzer
    Registriert seit
    06.11.2012
    Beiträge
    232
    Ni,

    Sichere Deinen Webspace durch maldet/inotify und aktuellen Sigs von Securiyinfo ab, dann kannst Du auf den Upload Scan verzichten.

    Gruß Ralf

  8. #18
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    484
    Und jetzt eine vielleicht "ganz dumme" Frage: wie wird der Upload-Scan deaktivert, so das Kunden unter PHP 5.6. wieder Daten hochladen können?

  9. #19
    Erfahrener Benutzer
    Registriert seit
    07.04.2011
    Beiträge
    814
    Zitat Zitat von weltmeister Beitrag anzeigen
    Und jetzt eine vielleicht "ganz dumme" Frage: wie wird der Upload-Scan deaktivert, so das Kunden unter PHP 5.6. wieder Daten hochladen können?
    PHP-Einstellungen und den Wert entfernen.

  10. #20
    Erfahrener Benutzer
    Registriert seit
    06.11.2013
    Beiträge
    484
    Vielen Dank, das hat funktioniert.

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •