PHP als CGI-Version zu nutzen, ist eine Möglichkeit für Installationen, bei denen aus irgendwelchen Gründen kein Modul in die Serversoftware eingebunden werden soll (wie beim Apache) oder für Systeme, bei denen verschiedene CGI-Wrapper genutzt werden sollen, um sichere chroot- und setuid-Umgebungen für Skripte zu schaffen. Bei dieser Konfiguration wird das ausführbare php-Binary üblicherweise im cgi-bin-Verzeichnis des Webservers installiert. CERT-Advisory » CA-96.11 spricht sich gegen die Platzierung von Interpretern im cgi-bin-Verzeichnis aus. Obwohl das php-Binary als eigenständiger Interpreter verwendet werden kann, wurde PHP so entwickelt, um den durch diese Konfiguration möglich werdenden Angriffe vorzubeugen:
?
) folgende
Abfrageinformation in einer URL wird durch das CGI-Interface als
Kommandozeilenargument an den Interpreter weitergereicht. In der
Kommandozeile wird üblicherweise die im ersten Argument angegebene Datei
von Interpretern geöffnet und ausgeführt.
Beim Aufruf als CGI-Binary verweigert php die
Interpretation der Kommandozeilenargumente.
Action
), um Aufrufe
von Dokumenten wie
http://my.host/secret/script.php an den
PHP-Interpreter umzuleiten. Bei dieser Konfiguration überprüft der
Webserver zuerst die Zugriffsrechte im Verzeichnis
/secret und erstellt anschließend den
umgeleiteten Aufruf http://my.host/cgi-bin/php/secret/script.php.
Unglücklicherweise wird, wenn der Aufruf bereits in dieser Form
geschieht, vom Webserver keine Zugriffsüberprüfung der Datei
/secret/script.php, sondern
lediglich der Datei /cgi-bin/php
vorgenommen. So ist
jeder Benutzer, der auf /cgi-bin/php
zugreifen darf, in der Lage, sich zu jedem geschützten Dokument
auf dem Webserver Zugriff zu verschaffen.
Bei PHP können beim Kompilieren die Konfigurationsdirektiven cgi.force_redirect,
doc_root und user_dir
benutzt werden, um diesen Angriff zu verhindern, falls
der Verzeichnisbaum des Servers Verzeichnisse mit
Zugriffsbeschränkungen beinhaltet.
Ausführliche Informationen über die verschiedenen Kombinationen
sind weiter unten beschrieben.