[AlternC-dev] Re: =?iso-8859-1?q?=5BAlternC-dev=5D IMPORTANT=20=3A=20MAJOR=20security?= leak in alternc/GRAVE faille de sécurité dans alternc

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Benjamin Sonntag benjamin at globenet.org
Sam 6 Déc 09:42:38 CET 2003


Olivier fraysse wrote:

>[English follows]
>Salut, 
>alors que le patch fonctionne, semble t-il, parfaitement sur lautre.net, il se 
>produit en revanche quelque chose d'imprévu chez moi.
>En effet, un opendir('.') à la racine d'un compte renvoi une erreur de 
>restriction open_dir. pourtant cela ne pose pas de probleme sur lautre.net.
>Je n'ai pas pu tester sur d'autre AlternC, tout le monde n'a pas patché !
>
>Apres une recherche rapide, j'ai conclu que les lignes suivantes générées par 
>l'override_php ... :
><Directory /var/alternc/dns/m/local.moostik.net>
>  php_admin_value open_basedir /var/alternc/html/m/moostik/
></Directory>
>... devaient etre remplacées par :
><Directory /var/alternc/dns/m/local.moostik.net>
>  php_admin_value open_basedir /var/alternc/html/m/moostik
></Directory>
>(il n'y a que le slash qui s'en va)
>
>cela concernerait autant create_open_basedir.sh que do_domaines.sh
>
>nouvelles lignes 520 de do_domaines.sh et 49 de create_open_basedir.sh :
> php_admin_value open_basedir ${path2}
>(un slash en moins)
>
>J'espere ne pas etre completement à coté de la plaque =)
>
>Contrairement à ce que l'on pourrait croire, il n'est pas impossible d'ouvrir 
>un fichier, à l'aide de readfile par exemple, situé à la racine d'un compte 
>(/var/alternc/html/o/olivier/test2.php), mais il est en revanche impossible 
>de le voir à l'aide d'un opendir, contrairement aux dossiers contenus dans le 
>compte.
>  
>
non, je pense que le / final est nécessaire, voir la doc d'open_basedir 
qui précise qu'il s'agit d'un PREFIXE.
Donc si on a 2 comptes "to" et "toto" et que le openbasedir de to est
/var/alternc/html/to,
il pourra ouvrir les comptes toto, tobidon et to3 ;(

Sinon, il faut (à mon avis) mettre aussi un
include_path .
dans php.ini si on veut qu'un "include("toto.php")" (donc dans le rep 
courant) fonctoinne. (voir erreur sur techos at lautre.net)

@+

Benjamin

_______________________________________________
Dev mailing list
Dev at alternc.org
http://alternc.org/cgi-bin/mailman/listinfo/dev



Plus d'informations sur la liste de diffusion Dev