On Tue, Jul 05, 2005 at 06:33:22AM +0200, [EMAIL PROTECTED] wrote: > Vous personnellement, si vous avez un compte mutualisé avec accès ftp sur > un répertoire utilisateur donné, sur un serveur disposant de php en mode > non safe, vous pouvez trouver les mots de passe de vos voisins, puis le > mot de passe root de la machine? À cause de ce IUD, qui est le même pour > tous?
Si je peux uploader un fichier.php quelconque dans *mon* arborescence et ensuite l'activer via HTTP comme un script, oui, je peux alors lire n'importe quelle donnée de clients autres, s'il n'y a pas le safe_mode ou approchant. Je ne pourrai pas trouver les mots de passe des comptes FTP de mes `voisins'(*), mais je pourrai modifier leur fichiers, les lire, obtenir les mots de passe d'accès à leurs bases de données, lire leurs logs de transaction HTTP, etc. Je pourrai aussi exécuter n'importe quelle commande UNIX, y compris un shell, sous l'utilisateur www-data (p.ex.). Je ne pourrai trouver le mot de passe root(*) que si une faille locale (ou distante) non corrigée existe. L'UID (User ID) est l'identifiant UNIX qui correspond au nom d'utilisateur. (*) Le problème n'est pas ici le piratage de la machine entière, mais des données d'un seul utilisateur UNIX, le compte partagé www-data sous lequel le serveur WWW s'exécute. Si le serveur est bien mis à jour régulièrement et bien configuré, les mots de passe des logins FTP et de root seront saufs ... mais les données seront accessibles quand même. Vu le rôle de ce serveur, du point de vue des clients, le dommage restera le même, même sans piratage de root. _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
