Ticket #466 (closed defect: fixed)
PB de securite
| Reported by: | rimkasot | Owned by: | anarcat |
|---|---|---|---|
| Priority: | normal | Milestone: | alternc-0.9.3.1 |
| Component: | Autres | Version: | alternc-0.9.3 |
| Severity: | major | Keywords: | |
| Cc: |
Description
Bonjour,
j'ai un utilisateur qui me dis pouvoir acceder a toutes les données des autres sites hébergé sur alternc grace au logiciel MyPHPExplorer. Est-ce normal? Quelqu'un était-il au courant? Est-ce une faille de alternc ?
merci d'avance
Change History
comment:2 Changed 8 years ago by rimkasot
Effectivement j'ai teste et on a bien acces au fichier des autres utilisateurs ca a l'air en rapport avec le bug 207 mais je croyais qu'il etait regle dans la version 0.9.3 d'alternc non ?
comment:3 Changed 8 years ago by arnaud_lb
c'est un problème qui est corigé dans le cvs. Le plus simple est de mettre à jour do_domaines.sh, basedir_prot.sh et m_dom.php avec les dernières versions du cvs, puis de lancer basedir_prot.sh.
comment:4 Changed 8 years ago by denis
C'est un bug découvert ou un bug qui est arrivé en cours de route ?
Si oui, quelles sont excatement les versions affectées ?
comment:5 Changed 8 years ago by arnaud_lb
C'est un bug découvert, j'en ai parlé un peu plus en détails sur le bug 207. C'est corrigé dans la révision 1.14 de do_domaines.sh.
comment:6 Changed 8 years ago by denis
hum, ça vaut la peine de faire une annonce. Si je me rapelles bien, c'est le deuxième trou en quelques mois ...
Au sinon, le script semble avoir un problème vu qu'il m'a crée une entrée:
/var/alternc/apacheconf/l/http:\www.lenomdedomaine.be.lenomdedomaine.be
comment:7 Changed 8 years ago by arnaud_lb
C'est déjà plus ou moins annoncé dans le bug 207.
Le script basedir_prot se base sur les liens qu'il trouve dans le dossier dns, donc tu as peut être un lien qui pointe vers http:\www.lenomdedomaine.be.lenomdedomaine.be
comment:8 Changed 8 years ago by denis
Je viens de me rendre compte que tous les derniers sous-domaines crées depuis ne s'y retrouvent pas dans /var/alternc/apacheconf/x/xxx malgré la MAJ de do_domaine.
Une erreur de ma part ou une erreur dans le script ?
comment:10 Changed 8 years ago by denis
oui oui, je l'ai mis à jour.
Quand je l'ai relancé il m'a bien créer tout ce qu'il fallait pour les domaines/sous-domaines existants.
Par contre pour les nouveaux, rien ne se passe...
C'est bien do_domaine qui doit se charger de ça ...
comment:11 Changed 8 years ago by arnaud_lb
Oui c'est do_domaines qui doit appeler basedir_prot. Je vient de faire une install de la dernière nithly, ça à l'air de fonctionner, à l'ajout d'un domaine et à l'ajout d'un sous domaine géré en local.
comment:12 Changed 8 years ago by denis
youps, désolé en fait ça fonctionne parfaitement, j'ai interverti deux machines ...
comment:13 Changed 7 years ago by anarcat
- Owner changed from anonymous to anarcat
- Status changed from new to closed
- Resolution set to fixed
- Milestone set to 0.9.3.1
corrigé dans la révision 1.14 de do_domaines.sh.
Pourrais-tu vérifier cette info et voir ce qu'il en est ?