Re: Policy pour les cgi-bin?
Le Wed, Sep 12, 2001 at 09:38:14AM +0200, Christian Perrier écrivait:
> > Simple question... Pourquoi pas $SERVER_NAME au lieu de `hostname -f` ?
>
> Tu veux dire établir la variable SERVER_NAME d'abord et s'en servir
> ensuite? Ou bien autre chose que je n'ai pas compris?
Je pense que la variable SERVER_NAME est positionné par le serveur Web
(apache surement), ca doit être un standard pour les CGI. Tu peux lancer
un "env" dans ton script pour vérifier ;-)
> C'est pas terrible comme je fais, mais le problème est que ce programme a
> besoin de savoir où tourne le démon Geneweb. Comme en toute logique, c'est
> sur la machine où est installé gwtp, je n'ai trouvé que `hostname -f`
Qui aura le désavantage de ne pas marcher dans le cas d'un VirtualHosting
il me semble.
> J'ai un peu peur, d'ailleurs, qu'un possible trou de sécurité soit possible
> par ce biais. Je devrais peut-être coder en dur le chemin de hostname.
Tant que le PATH du script n'est pas altérable tu ne risques rien.
> root@kernighan:/var/backups# ls -l /var/run/gwtp
> total 1
> -rw-rw-rw- 1 www-data geneweb 42 sep 12 09:34 token
>
> A tous les coups, c'est une porte ouverte à une attaque de type "lien
> symbolique", j'en ai peur.
>
> Les permissions de /var/run/gwtp :
> drwxrwx--- 2 root geneweb 1024 sep 5 09:26 gwtp
>
> Dans le groupe geneweb, on met les utilisateurs autorisés à placer des
> bases sur le serveur.
Oui c'est possible une attaque dans ce genre, mais comme tu as les droits
www-data [1] et que aucun fichier ne devrait appartenir à cet utilisateur, les
dégats ne peuvent être que limités. Ensuite, les seuls attaquants sont
ceux qui peuvent écrire dans /var/run/gwtp cad ceux du groupe geneweb.
Bien sûr, tout ceci est à conditionner par la manière dont le CGI réécrit
ce fichier token. Il peut très bien le faire correctement. Un essai est le
meilleur moyen de vérifier à défaut de bien connaître le Ocaml.
A+
[1] Ceci dit comme les fichiers appartiennt au groupe geneweb, il y aussi
surement un setgid dans l'affaire. Mais bon, ca veut dire qu'on peut aussi
attaquer les fichiers appartenant au groupe geneweb, ca ne fait guère
plus...
--
Raphaël Hertzog -+- http://strasbourg.linuxfr.org/~raphael/
Le bouche à oreille du Net : http://www.beetell.com
Naviguer sans se fatiguer à chercher : http://www.deenoo.com
Formation Linux et logiciel libre : http://www.logidee.com
Reply to: