Le 07/07/2016 à 14:02, Benoit CLERC a écrit :
Le 07/07/2016 13:50, Franck Paul a écrit :
Bonjour,
J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait
uploader
un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir
accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem
dans une
archive dezippée dans la médiathèque.
Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
symbolique dans la médiathèque ?
À vos claviers…
Plopjour,
J'ai eu une fois ce cas au boulot, c'était dans le cadre d'un intranet
dispo uniquement sur le réseau local de l'entreprise et on a fait
signer une décharge pour nous éviter des soucis éventuels.
Donc moi je suis pour le NEIN NEIN NEIN dans le cadre d'un logiciel de
blogging,
Beubeu.
Coucou,
comme les copains, je ne vois aucun usage « légitime » d’une telle
possibilité. Ou tu as un accès ssh qui te permet faire des liens
symboliques, ou tu t’en passes !
Mes deux centimes.
Noé aka Lomalarch
--
Dev mailing list - Dev@list.dotclear.org - http://ml.dotclear.org/listinfo/dev
