[AlternC-dev] reprise de l'alerte secu sur des listes de surveillance

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Jerome Moinet jerome at moinet.org
Mar 5 Déc 07:58:29 CET 2006


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

cam.lafit at azerttyu.net wrote:
> Bonjour
> 
> "ouaou" (j'ai traduit pas cri de joie)
> En quoi est ce une "bonne" nouvelle, cela veut dire que l'on commence
> à prendre au "sérieux" alternc ?
> 
Non, ça veut dire que les failles peuvent maintenant être plus
facilement trouvées, et qu'il faut donc upgrader au plus vite.

A ce propos, on a une vieille version (0.9.3) sur l'autre net, et j'ai
corrigé la faille des noms de domaines (../../../etc) plutôt dans
do_domaine ([ `echo $VALEUR | grep -c "\.\."` -ne 0 ] && `pas faire la
création du sous-domaine`) que dans l'interface php, afin de bloquer une
fois pour toute ce type de problème. En effet, si on arrive à injecter
une commande de création de sous-domaine pointant vers ../../../../
autrement que par le bureau (insert direct dans system.sub_domaines, par
exemple, après avoir, d'une manière ou d'une autre, récupéré le pass
mysql), la faille sera toujours présente. Peut-être faudrait-il aussi
faire cette modif dans la version courante ?

cdlt,

jerome
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFFdRiV3ygQTLujCrQRAgOUAKCCm60aQL5sK3orq+7p88qKN0hxOgCgxwFg
WbNIzaRj36BnUqH9PKJ6UBU=
=S7e9
-----END PGP SIGNATURE-----



Plus d'informations sur la liste de diffusion Dev