Re: Policy pour les cgi-bin?

To: debian-devel-french@lists.debian.org
Subject: Re: Policy pour les cgi-bin?
From: Raphael Hertzog <hertzog@debian.org>
Date: Wed, 12 Sep 2001 10:12:00 +0200
Message-id: <[🔎] 20010912101200.A7788@k6.resI.insa-lyon.fr>
Mail-followup-to: debian-devel-french@lists.debian.org
In-reply-to: <[🔎] 20010912093814.B22400@localhost>
References: <[🔎] 20010911090820.A1901@localhost> <[🔎] 20010911162459.DA953BE8A@mixing.qc.dfo.ca> <[🔎] 20010912093814.B22400@localhost>

Le Wed, Sep 12, 2001 at 09:38:14AM +0200, Christian Perrier écrivait:
> > Simple question... Pourquoi pas $SERVER_NAME au lieu de `hostname -f` ?
> 
> Tu veux dire établir la variable SERVER_NAME d'abord et s'en servir
> ensuite? Ou bien autre chose que je n'ai pas compris?

Je pense que la variable SERVER_NAME est positionné par le serveur Web
(apache surement), ca doit être un standard pour les CGI. Tu peux lancer
un "env" dans ton script pour vérifier ;-)

> C'est pas terrible comme je fais, mais le problème est que ce programme a
> besoin de savoir où tourne le démon Geneweb. Comme en toute logique, c'est
> sur la machine où est installé gwtp, je n'ai trouvé que `hostname -f`

Qui aura le désavantage de ne pas marcher dans le cas d'un VirtualHosting
il me semble.

> J'ai un peu peur, d'ailleurs, qu'un possible trou de sécurité soit possible
> par ce biais. Je devrais peut-être coder en dur le chemin de hostname.

Tant que le PATH du script n'est pas altérable tu ne risques rien.

> root@kernighan:/var/backups# ls -l /var/run/gwtp
> total 1
> -rw-rw-rw-    1 www-data geneweb        42 sep 12 09:34 token
> 
> A tous les coups, c'est une porte ouverte à une attaque de type "lien
> symbolique", j'en ai peur.
> 
> Les permissions de /var/run/gwtp :
> drwxrwx---    2 root     geneweb      1024 sep  5 09:26 gwtp
> 
> Dans le groupe geneweb, on met les utilisateurs autorisés à placer des
> bases sur le serveur.

Oui c'est possible une attaque dans ce genre, mais comme tu as les droits
www-data [1] et que aucun fichier ne devrait appartenir à cet utilisateur, les
dégats ne peuvent être que limités. Ensuite, les seuls attaquants sont
ceux qui peuvent écrire dans /var/run/gwtp cad ceux du groupe geneweb.

Bien sûr, tout ceci est à conditionner par la manière dont le CGI réécrit
ce fichier token. Il peut très bien le faire correctement. Un essai est le
meilleur moyen de vérifier à défaut de bien connaître le Ocaml.

A+

[1] Ceci dit comme les fichiers appartiennt au groupe geneweb, il y aussi
surement un setgid dans l'affaire. Mais bon, ca veut dire qu'on peut aussi
attaquer les fichiers appartenant au groupe geneweb, ca ne fait guère
plus...
-- 
Raphaël Hertzog -+- http://strasbourg.linuxfr.org/~raphael/
Le bouche à oreille du Net : http://www.beetell.com
Naviguer sans se fatiguer à chercher : http://www.deenoo.com
Formation Linux et logiciel libre : http://www.logidee.com

Reply to:

Follow-Ups:
- Re: Policy pour les cgi-bin?
  - From: Christian Perrier <bubulle@debian.org>

References:
- Re: Policy pour les cgi-bin?
  - From: Christian Perrier <Christian.Perrier@onera.fr>
- Re: Policy pour les cgi-bin?
  - From: Peter S Galbraith <GalbraithP@dfo-mpo.gc.ca>
- Re: Policy pour les cgi-bin?
  - From: Christian Perrier <Christian.Perrier@onera.fr>

Prev by Date: Re: Policy pour les cgi-bin?
Next by Date: Re: Policy pour les cgi-bin?
Previous by thread: Re: Policy pour les cgi-bin?
Next by thread: Re: Policy pour les cgi-bin?
Index(es):
- Date
- Thread