OpenBSD: Sicherheit


Apache
privilege drop
auch der parent-Prozess laeuft nicht als root
chroot
chroot() des parent-Prozesses in /var/www
privilege drop
erst dann werden die child-Prozesse gefork()ed
kein info-leak
im ETag-Header stand der inode des betroffenen Files
erleichtert NFS-Filehandle-Guessing
in den MIME-Boundaries standen u. a. PIDs

Erfolg:
die letzten Sicherheitsluecken in Apache waren auf OpenBSD nicht existent oder fast folgenlos
Die falschen Berechtigungen auf der shared-memory-area fuer das Scoreboard waren auf OpenBSD Monate zuvor gefixt