2013/12/5 Lomalarch <[email protected]> > Alexandre, saisi(e) par l’inspiration, nous écrivait le 05/12/2013 vers > 0:34 > > Attention avec nginx, de mémoire il faut faire attention à la config PHP, >> sinon c'est très facilement vulnérable. À l'époque la configuration dans >> la >> doc telle quelle contenait une faille de sécurité, mais je ne me souviens >> plus des détails. >> > > Si tu pouvais être plus précis :-D > > les commande php passent par php-fpm, au lieu, comme dans Apache d’être un > module du serveur, c’est tout ce que je /sais/ sur la question, et j’avais > cru comprendre que c’était plutôt pas mal…
Ce ne serait pas ça le problème : http://cnedelcu.blogspot.ch/2010/05/nginx-php-via-fastcgi-important.html ? (En gros et si j'ai bien compris lors de ma lecture en diagonale, l'erreur de configuration fait qu'un utilisateur ayant les droits d'envoyer des fichiers sur le serveur peut exécuter du PHP arbitraire, même si l'administrateur a interdit l'envoi de PHP.) julien -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
