[AlternC-dev] Re: [AlternC-dev] IMPORTANT : MAJOR security leak in alternc/GRAVE faille de sécurité dans alternc

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Olivier fraysse olivier at picapo.com
Sam 6 Déc 15:39:44 CET 2003


Le Samedi 6 Décembre 2003 10:35, Jerome Moinet a écrit :
> > non, je pense que le / final est nécessaire, voir la doc d'open_basedir
> > qui précise qu'il s'agit d'un PREFIXE.
> > Donc si on a 2 comptes "to" et "toto" et que le openbasedir de to est
> > /var/alternc/html/to,
> > il pourra ouvrir les comptes toto, tobidon et to3 ;(
>
> Exactement, il FAUT laisser ce / à la fin.
>
> Pour le include_path,mettre
>
> include_path = "."
>
> dans /etc/php4/apache/php.ini
>
> et reloader apache.
>
> C'est effectivement un bug du patch.
>
> le moyen le plus simple c'est de commenter les sites qui posent problème
> dans override_php.conf.
>
> jerome
>

oki, je comprend bien pourquoi ce / doit rester.
cependant, l'include_path ne change rien chez moi, un opendir(.) me renvoit 
toujours ceci :
Warning: opendir(): open_basedir restriction in effect. File(.) is not within 
the allowed path(s): (/var/alternc/html/m/moostik/) in 
/var/alternc/html/m/moostik/index2.php on line 15

alors, j'ai trouvé que plutot que d'enlever le "/", je pouvais rajouter un "." 
ainsi :
  php_admin_value open_basedir /var/alternc/html/m/moostik/.

et là, tout marche nickel.

suis-je encore à coté de la plaque ?

merci,

Olivier F.


Plus d'informations sur la liste de diffusion Dev