9:02 a.m.
Plop les gens,
Trouvé au hasard de ma procrastination matutinale sur l'interweb :
http://winginx.com/htaccess
Un convertisseur de rewrite rules (et autres petites choses) de .htaccess
(Apache) vers config (nginx)
Ç
a peut servir
--
Franck
11:55 a.m.
Le 1 décembre 2013 09:02, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
Plop les gens,
Trouvé au hasard de ma procrastination matutinale sur l'interweb :
http://winginx.com/htaccess
Un convertisseur de rewrite rules (et autres petites choses) de .htaccess
(Apache) vers config (nginx)
Ç
a peut servir
Sympathique :) Y'a la même chose pour lighttpd ?
--
Bruno
12:12 p.m.
Bonjour à tous.
Merci beaucoup c'est effectivement très pratique !
Je me suis un peu battu avec nGinx pour installer Dotclear.
2013/12/1 Bruno <dsls(a)morefnu.org>
Le 1 décembre 2013 09:02, Franck Paul
<carnet.franck.paul(a)gmail.com> a
écrit :
> Plop les gens,
>
> Trouvé au hasard de ma procrastination matutinale sur l'interweb :
> http://winginx.com/htaccess
> Un convertisseur de rewrite rules (et autres petites choses) de .htaccess
> (Apache) vers config (nginx)
>
> Ç
> a peut servir
>
Sympathique :) Y'a la même chose pour lighttpd ?
--
Bruno
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
10:47 a.m.
Hello,
L’idée est bonne, mais leur exemple ressemble à des trucs qu’il ne faut
pas faire, de ce que j’ai lu :-D
On préférera utiliser un try_files qu’un (!e $request_filename),
normalement ;-)
Lomalarch
http://lomalarch.free.fr/
Cédric Schmitz, saisi(e) par l’inspiration, nous écrivait le 01/12/2013
vers 12:12
Bonjour à tous.
Merci beaucoup c'est effectivement très pratique !
Je me suis un peu battu avec nGinx pour installer Dotclear.
2013/12/1 Bruno <dsls(a)morefnu.org>
> Le 1 décembre 2013 09:02, Franck Paul <carnet.franck.paul(a)gmail.com> a
> écrit :
>
>> Plop les gens,
>>
>> Trouvé au hasard de ma procrastination matutinale sur l'interweb :
>> http://winginx.com/htaccess
>> Un convertisseur de rewrite rules (et autres petites choses) de .htaccess
>> (Apache) vers config (nginx)
>>
>> Ç
>> a peut servir
>>
>
> Sympathique :) Y'a la même chose pour lighttpd ?
> --
> Bruno
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
12:34 a.m.
Attention avec nginx, de mémoire il faut faire attention à la config PHP,
sinon c'est très facilement vulnérable. À l'époque la configuration dans la
doc telle quelle contenait une faille de sécurité, mais je ne me souviens
plus des détails.
Le 2 décembre 2013 10:47, Lomalarch <lomalarch(a)gmail.com> a écrit :
Hello,
L’idée est bonne, mais leur exemple ressemble à des trucs qu’il ne faut
pas faire, de ce que j’ai lu :-D
On préférera utiliser un try_files qu’un (!e $request_filename),
normalement ;-)
Lomalarch
http://lomalarch.free.fr/
Cédric Schmitz, saisi(e) par l’inspiration, nous écrivait le 01/12/2013
vers 12:12
Bonjour à tous.
>
> Merci beaucoup c'est effectivement très pratique !
> Je me suis un peu battu avec nGinx pour installer Dotclear.
>
>
> 2013/12/1 Bruno <dsls(a)morefnu.org>
>
> Le 1 décembre 2013 09:02, Franck Paul <carnet.franck.paul(a)gmail.com> a
>> écrit :
>>
>> Plop les gens,
>>>
>>> Trouvé au hasard de ma procrastination matutinale sur l'interweb :
>>> http://winginx.com/htaccess
>>> Un convertisseur de rewrite rules (et autres petites choses) de
>>> .htaccess
>>> (Apache) vers config (nginx)
>>>
>>> Ç
>>> a peut servir
>>>
>>>
>> Sympathique :) Y'a la même chose pour lighttpd ?
>> --
>> Bruno
>> --
>> Dev mailing list - Dev(a)list.dotclear.org -
>> http://ml.dotclear.org/listinfo/dev
>>
>> --
Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/
listinfo/dev
--
Alexandre
8:51 a.m.
Alexandre, saisi(e) par l’inspiration, nous écrivait le 05/12/2013 vers 0:34
Attention avec nginx, de mémoire il faut faire attention à la config
PHP,
sinon c'est très facilement vulnérable. À l'époque la configuration dans la
doc telle quelle contenait une faille de sécurité, mais je ne me souviens
plus des détails.
Si tu pouvais être plus précis :-D
les commande php passent par php-fpm, au lieu, comme dans Apache d’être
un module du serveur, c’est tout ce que je /sais/ sur la question, et
j’avais cru comprendre que c’était plutôt pas mal…
--
Lomalarch
http://lomalarch.free.fr/
12:04 p.m.
Notez qu'on peut faire pareil avec apache :)
Je me demande si l'erreur possible, c'est pas de donner trop de permissions
à l'exécutable fpm justement.
Le 5 déc. 2013 08:51, "Lomalarch" <lomalarch(a)gmail.com> a écrit :
Alexandre, saisi(e) par l’inspiration, nous écrivait le 05/12/2013
vers
0:34
> Attention avec nginx, de mémoire il faut faire attention à la config PHP,
> sinon c'est très facilement vulnérable. À l'époque la configuration dans
> la
> doc telle quelle contenait une faille de sécurité, mais je ne me souviens
> plus des détails.
>
Si tu pouvais être plus précis :-D
les commande php passent par php-fpm, au lieu, comme dans Apache d’être un
module du serveur, c’est tout ce que je /sais/ sur la question, et j’avais
cru comprendre que c’était plutôt pas mal…
--
Lomalarch
http://lomalarch.free.fr/
--
Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/
listinfo/dev
1:41 p.m.
2013/12/5 Lomalarch <lomalarch(a)gmail.com>
Alexandre, saisi(e) par l’inspiration, nous écrivait le 05/12/2013
vers
0:34
Attention avec nginx, de mémoire il faut faire attention à la config PHP,
> sinon c'est très facilement vulnérable. À l'époque la configuration dans
> la
> doc telle quelle contenait une faille de sécurité, mais je ne me souviens
> plus des détails.
>
Si tu pouvais être plus précis :-D
les commande php passent par php-fpm, au lieu, comme dans Apache d’être un
module du serveur, c’est tout ce que je /sais/ sur la question, et j’avais
cru comprendre que c’était plutôt pas mal…
Ce ne serait pas ça le problème :
http://cnedelcu.blogspot.ch/2010/05/nginx-php-via-fastcgi-important.html ?
(En gros et si j'ai bien compris lors de ma lecture en diagonale, l'erreur
de configuration fait qu'un utilisateur ayant les droits d'envoyer des
fichiers sur le serveur peut exécuter du PHP arbitraire, même si
l'administrateur a interdit l'envoi de PHP.)
julien
10:38 a.m.
Julien Mudry, saisi(e) par l’inspiration, nous écrivait le 05/12/2013
vers 13:41
Ce ne serait pas ça le problème :
http://cnedelcu.blogspot.ch/2010/05/nginx-php-via-fastcgi-important.html ?
(En gros et si j'ai bien compris lors de ma lecture en diagonale, l'erreur
de configuration fait qu'un utilisateur ayant les droits d'envoyer des
fichiers sur le serveur peut exécuter du PHP arbitraire, même si
l'administrateur a interdit l'envoi de PHP.)
julien
Merci pour cette info !
ça fait plusieurs "si", et, sur le serveur DA, le test proposé échoue :
cette porte n’est pas ouverte et les 404 sont de vraies 404.
Ceci étant, le billet n’est pas récent (2010), et ils ont peut-être
bouché le trou dans les php récents ?
Au demeurant, on utilise du « faux » path_info (c’est sur path_info que
s’appuie la vulnérabilité décrite) c’est à dire que le ? de la
query_string est rewrité pour ne pas apparaître dans l’url :-)
Merci encore, ça me rassure (un peu) ;-)
--
Lomalarch
http://lomalarch.free.fr/
5:28 p.m.
Ce ne serait pas ça le problème :
http://cnedelcu.blogspot.ch/2010/05/nginx-php-via-fastcgi-important.html ?
(En gros et si j'ai bien compris lors de ma lecture en diagonale, l'erreur
de configuration fait qu'un utilisateur ayant les droits d'envoyer des
fichiers sur le serveur peut exécuter du PHP arbitraire, même si
l'administrateur a interdit l'envoi de PHP.)
C'est fort possible ! Oui ça date d'il y a longtemps ;)
--
Alexandre
3812
days inactive
3822
days old
9 comments
7 participants
participants (7)
-
Alexandre -
Bruno -
Cédric Schmitz -
Franck Paul -
Julien Mudry -
Julien Wajsberg -
Lomalarch