Re: [Dolibarr-dev] [Sécurité] très importan t !!!!!

dolibarr-dev

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Dolibarr-dev] [Sécurité] très importan t !!!!!

From:	Eldy
Subject:	Re: [Dolibarr-dev] [Sécurité] très importan t !!!!!
Date:	Mon, 03 Dec 2007 04:28:41 +0100
User-agent:	Thunderbird 2.0.0.6 (X11/20071022)

Régis Houssin wrote:

Si le serveur apache ou autre n'est pas configuré pour ne pas autoriser le
listage des fichiers lorsqu'il n'y a pas de fichier Index nous pouvons voir
les fichiers des répertoires qui n'ont pas de fichier Index même sans
être logué et du coup il est possible de lancer un fichier et de voir les
erreurs et les chemins réel des fichiers sur le serveur !!!!

je l'ai laissé volontairement : http://demo.dolibarr.fr/includes/modules/

exemple sans être logué :

http://demo.dolibarr.fr/includes/modules/modAdherent.class.php

donne :

---------------------------------------------------------
Warning:
include_once(DOL_DOCUMENT_ROOT/includes/modules/DolibarrModules.class.php)
[function.include-once]: failed to open stream: No such file or directory
in
/home/httpd/vhosts/dolibarr.fr/demo/dolibarr/htdocs/includes/modules/modAdherent.class.php
on line 36

Warning: include_once() [function.include]: Failed opening
'DOL_DOCUMENT_ROOT/includes/modules/DolibarrModules.class.php' for
inclusion (include_path='.:/usr/share/php:/usr/share/pear') in
/home/httpd/vhosts/dolibarr.fr/demo/dolibarr/htdocs/includes/modules/modAdherent.class.php
on line 36

Fatal error: Class 'DolibarrModules' not found in
/home/httpd/vhosts/dolibarr.fr/demo/dolibarr/htdocs/includes/modules/modAdherent.class.php
on line 43
----------------------------------------------------------

on devrait inclure un fichier index.html vide dans chaque répertoire qui
ne contient pas d'index non ?

Non, ceci ne résoudrait rien et n'empeche que de voir que pour ledébutant mais n'a absolument aucun interet pour celui qui connait memejuste un peu.

La solution et d'avoir l'option NoIndex actif dans ton fichier apache.ceci est dailleurs l'option par defaut de toute install apache sauf pourles rep qui sont dans /home.

Ce qui est ton cas. Tu dois mettre l'option
Options -Indexes

Pour ce cas, il vaut mieux mettre un warning dans dolibarr pour signalerque la config apache n'est pas bonne car seul une config apache estefficace contre cela.

De meme pour le pb des chemins qui s'affichent suite a un messaged'erreur, c'est la config php qui est incorrecte. Il faut mettre

display_errors = Off

display_errors = On est une faille de securité. La aussi un warning quis'affiche si on est loggue avec un compte admin serait utile (comme onfait pour la presence du rep install s'il n'a pas ete supprimé).

Régis



_______________________________________________
Dolibarr-dev mailing list
address@hidden
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev

[Prev in Thread]

Current Thread

[Next in Thread]

Re: [Dolibarr-dev] [Sécurité] très importan t !!!!!, Rodolphe Quiedeville, 2007/12/02
- Re: [Dolibarr-dev] [Sécurité] très impor tant !!!!!, Régis Houssin, 2007/12/03
- Re: [Dolibarr-dev] [Sécurité] très importan t !!!!!, Eldy <=

Prev by Date: Re: [Dolibarr-dev] Paquet Debian
Next by Date: Re: [Dolibarr-dev] Firefox vs Dolibarr
Previous by thread: Re: [Dolibarr-dev] [Sécurité] très impor tant !!!!!
Next by thread: Re: [Dolibarr-dev] Firefox vs Dolibarr
Index(es):
- Date
- Thread