Ticket #145 (closed: fixed)
Hack possible avec SafeMode ! Les fichiers de configuration sont lisibles depuis un site en php !
| Reported by: | Ganjah | Owned by: | anarcat |
|---|---|---|---|
| Priority: | high | Milestone: | alternc-0.9.3.1 |
| Component: | PHP | Version: | mailman-1.5 |
| Severity: | block | Keywords: | |
| Cc: |
Description
Les fichiers /var/alternc/bureau/class/local.php /etc/alternc/alternc.conf peuvent être lu depuis le php et un site héberger sur le serveur. Les 2 contiennent les user/pass pour ldap et mysql ;-( Pour que ca fonctionne, il faut que le script de hack soit UPLOADER avec le gestionnaire de fichier. dans ce cas, le fichier est www-data.www-data et peut accèder aux autres fichiers de conf. si il est créer avec le ftp ou par le gestionnaire de fichier, il prend le bon group ! Il faut aussi changer le user.group sur /var/alternc/bureau/class/ et mettre en root.www-data avec un 0755 pour le répertoire et un 0640 pour les fichier *.php, pour que le safe mode fonctionne correctement :-)
Change History
comment:2 Changed 10 years ago by Ganjah
Pour résumer et surtout corriger ce bug + le 0000143 il faut après (ou pendant ?) l'install faire : chmod +s /usr/lib/alternc/mem_add chmod +s /usr/lib/alternc/quota_edit chmod +s /usr/lib/alternc/quota_get chmod 0640 /var/alternc/bureau/class/*.php chown root.www-data /var/alternc/bureau/class/*.php
et modifier le fichier bureau/class/m_bro.php selon l'annexe 0000145-altern-uploadfile.php
J'espère que y'a pas d'autres fichiers sensible à protéger ?
comment:3 Changed 10 years ago by Ganjah
Ne pas faire de site avec le nom de la machine
En effet pour des problèmes de sécurité, il ne faut pas faire de sites avec le nom de la machine. Je m'explique, mon serveur s'appelle par exemple : evo.evo.ggs ... dans la config apache et apache-ssl on retrouve ceci :
<Directory /var/alternc/dns/e/evo.evo.ggs> php_admin_flag safe_mode_gid off php_admin_flag safe_mode off </Directory>
Et que voit-on ? Un safe_mode annulé ... alors c'est pas cool ça ;-( Sans safe_mode un prog php peut lire les fichiers de configuration... la suite vous connaissez... Pour héberger le site www.evo.ggs mais PAS evo.evo.ggs, créer vous un utilisateur simple et faite votre site avec lui !
comment:4 Changed 9 years ago by anarcat
- Priority changed from normal to urgent
- Severity changed from feature to block
Ceci est à vérifier au plus vite, et à corriger au plus sacrant. :)
En fait, le problème est très grave, et c'est que l'on se fie sur le "safe mode" pour la protection des fichiers, ce qui est tout à fait naïf.
comment:5 Changed 9 years ago by Ganjah
Si je me souviens bien, ce bug à été corrigé. Ensuite il y a eu le patch override_php qui à corrigé des problèmes similaires.
il ne reste plus que le nom du pc, qui normalement pointe sur le bureau.
comment:6 Changed 9 years ago by anarcat
- Owner changed from anonymous to anarcat
- Status changed from new to assigned
comment:7 Changed 9 years ago by anarcat
Une solution élégante à ce problème serait la séparation du bureau des autres domaines et l'utilisation de suexec:
comment:9 Changed 9 years ago by anarcat
SuExecPhp? n'est pas nécessaire pour régler ce bug, qui devrait l'être présentement dans le CVS. Il serait important de vérifier ceci avant la 1.0.
comment:10 Changed 7 years ago by anarcat
- Status changed from assigned to closed
- Type set to defect
- Resolution set to fixed
- Milestone set to 0.9.3.1
ce bug a été réglé dans la 0.9.3.1
Voila la correction (en fichier annexé) de ce problème. il faut simplement faire un touch(file) et un copy, ne pas employer la commande move_uploaded_file() ...
annexe : 0000145-altern-uploadfile.php
J'espère que mes modif vous seront utils ;-)