[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Policy pour les cgi-bin?



On Wed, Sep 12, 2001 at 09:38:14AM +0200, Christian Perrier wrote:
[...]
> Tu veux dire établir la variable SERVER_NAME d'abord et s'en servir
> ensuite? Ou bien autre chose que je n'ai pas compris?

Elle doit être dans les variables d'environnement quand ton script est
appelé.

> C'est pas terrible comme je fais, mais le problème est que ce programme a
> besoin de savoir où tourne le démon Geneweb. Comme en toute logique, c'est
> sur la machine où est installé gwtp, je n'ai trouvé que `hostname -f`
> 
> J'ai un peu peur, d'ailleurs, qu'un possible trou de sécurité soit possible
> par ce biais. Je devrais peut-être coder en dur le chemin de hostname.

Si quelqu'un est déjà capable de faire en sorte que la commande hostname
pointe vers une autre commande, je ne vois pas bien ce qu'il gagnerait 
à détourner ton script.

> Faut aussi que je voie les fichiers temporaires créés par gwtp. Il y a
> notamment un fichier appelé "token" dans /var/run/gwtp :
> 
> 
> root@kernighan:/var/backups# ls -l /var/run/gwtp
> total 1
> -rw-rw-rw-    1 www-data geneweb        42 sep 12 09:34 token
> 
> A tous les coups, c'est une porte ouverte à une attaque de type "lien
> symbolique", j'en ai peur.
> 
> Les permissions de /var/run/gwtp :
> drwxrwx---    2 root     geneweb      1024 sep  5 09:26 gwtp
> 
> Dans le groupe geneweb, on met les utilisateurs autorisés à placer des
> bases sur le serveur.

Peut-être que tu peux mettre le fichier token en 660 et mettre www-data
dans le groupe geneweb ? C'est à voir avec les auteurs de Geneweb, c'est
eux qui savent quelles opérations sont effectuées, et quels sont les
risques.

Denis



Reply to: