[AlternC-dev] AlternC à solutions Linux

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Denis denis at collectifs.net
Jeu 1 Déc 22:28:15 CET 2005


Le jeudi 01 décembre 2005 à 19:43 +0100, Cedric Boudin a écrit :
> Suis preneur de toutes infos securité.
> Avons plusieurs clients tournant sous Alternc et nous aimerions plutot
> prévenir que guérir


Voilà, j'ai essayé de mettre clairement ce qui se trouve dans mantis.
Ton message confirme qu'il y a du boulot pour mettre tout le monde au
courant. Je proposes qu'on complète/améliore cette version pour faire
une annonce.

On pourrait d'abord envoyer sur sur les listes devs, users, bugs et
peut-être aussi via les adresses de mantis, puis de mettre sur le forum
et sur le site un avis explicite concernant la version 0.9.3.

A+
Denis

** safe_mode_gid **

- Description:

Il est possible, pour n'importe quel compte alternc, d'aller modifier
tous les fichiers du système appartenants à www-data. Cela se fait au
moyen de la fonction opendir() de php, et du bug dans le fonctionnement
de la directive safe_mode_gid, qui ne fonctionne pas pour les
sous-domaines.

- Correction:  Version 1.14 de do_domaines (version installée avec
alternc-0.9.3 -> 1.9)

http://cvs.alternc.org/cgi-bin/viewcvs.cgi/alternc/src/do_domaines.sh?r1=1.13&r2=1.14

- Plus d'infos:

http://mantis.alternc.org/view.php?id=207
http://mantis.alternc.org/view.php?id=466

** safe_mode_exec_dir **

- Description:

Dans la config de php, il est autorisé d'excécuter des programmes via le
"safe_mode_exec_dir" qui est fixé sur /usr/lib/alternc à la place
de /var/alternc/exec.usr

Ceci donne la possibilité à tous les comptes d'exécuter les scripts
contenus dans ce dossier, donc d'ajouter/supprimmer des membres, des
mails,...

- Corrections: Version 1.6 de php.ini (version installée avec
alternc-0.9.3 ->1.5)

http://cvs.alternc.org/cgi-bin/viewcvs.cgi/alternc/install/scripts/etc/php4/apache/php.ini?r1=1.5&r2=1.6

- Plus d'infos

http://mantis.alternc.org/view.php?id=411





Plus d'informations sur la liste de diffusion Dev