> Hi!
>
> >> пользователю написать там любой бред6 ведущий к DoS ? Лечение, впрочем,
> >> обычно - подозрительные /dev/ убрать ну и так далее.
> alr> все в chroot, rm -rf /dev, limits on, etc.
>
> alr> Но по моему опыту (и потребностям) AuthInfo - это самое нужное, что
> alr> простой пользователь хочет от .htaccess
> В таком случае можно один раз напрячься и сделать Auth через mSQL/MySQL и тому
> подобное - что-то, что следит за содержимым файлов.
Леха!
Тут закордонец вот такое лечение предлагает...
Посмотри...
Я у себя уже привинтил... Работает.
kirk: ~/src/apache_1.2.4/src> gdiff -uw alloc.c.orig alloc.c
--- alloc.c.orig Thu Jan 8 14:14:13 1998
+++ alloc.c Fri Jan 9 13:37:21 1998
@@ -839,9 +839,14 @@
{
FILE *fd = NULL;
int baseFlag, desc;
+ struct stat buf;
block_alarms();
+ if ( *mode != 'r'
+ || (strcmp(name,"/dev/null") == 0)
+ || stat(name, &buf) == 0 && ((buf.st_mode & S_IFMT) == S_IFREG))
+ {
if (*mode == 'a') {
/* Work around faulty implementations of fopen */
baseFlag = (*(mode+1) == '+') ? O_RDWR : O_WRONLY;
@@ -854,6 +859,7 @@
} else {
fd = fopen(name, mode);
}
+ }
if (fd != NULL) note_cleanups_for_file (a, fd);
unblock_alarms();
--
Max Chernykh (WebMaster) | Business Net-Irkutsk
MailTo:max@irk.ru | MailTo:info@irk.ru
| http://www.irk.ru
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 . Design (C) 1998 Max Smolev.
