1:50 p.m.
Bonjour,
J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait uploader
un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir
accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem dans une
archive dezippée dans la médiathèque.
Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
symbolique dans la médiathèque ?
À vos claviers…
--
Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
1:56 p.m.
Coucou,
Pour moi, non :)
Je n'en ai pas l'usage ni ne vois l'intérêt.
Le 07/07/2016 à 13:50, Franck Paul a écrit :
Bonjour,
J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait uploader
un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir
accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem dans une
archive dezippée dans la médiathèque.
Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
symbolique dans la médiathèque ?
À vos claviers…
2:02 p.m.
Le 07/07/2016 13:50, Franck Paul a écrit :
Bonjour,
J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait uploader
un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir
accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem dans une
archive dezippée dans la médiathèque.
Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
symbolique dans la médiathèque ?
À vos claviers…
Plopjour,
J'ai eu une fois ce cas au boulot, c'était dans le cadre d'un intranet
dispo uniquement sur le réseau local de l'entreprise et on a fait signer
une décharge pour nous éviter des soucis éventuels.
Donc moi je suis pour le NEIN NEIN NEIN dans le cadre d'un logiciel de
blogging,
Beubeu.
2:06 p.m.
Le 07/07/2016 à 14:02, Benoit CLERC a écrit :
Le 07/07/2016 13:50, Franck Paul a écrit :
> Bonjour,
>
> J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait
> uploader
> un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir
> accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem
> dans une
> archive dezippée dans la médiathèque.
>
> Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
> symbolique dans la médiathèque ?
>
> À vos claviers…
>
Plopjour,
J'ai eu une fois ce cas au boulot, c'était dans le cadre d'un intranet
dispo uniquement sur le réseau local de l'entreprise et on a fait
signer une décharge pour nous éviter des soucis éventuels.
Donc moi je suis pour le NEIN NEIN NEIN dans le cadre d'un logiciel de
blogging,
Beubeu.
Coucou,
comme les copains, je ne vois aucun usage « légitime » d’une telle
possibilité. Ou tu as un accès ssh qui te permet faire des liens
symboliques, ou tu t’en passes !
Mes deux centimes.
Noé aka Lomalarch
2:18 p.m.
j'ai du mal à voir comment ça marche techniquement; c'est spécifique à une
plate-forme ou pour toutes les plates-formes ?
plutôt d'accord avec tout le monde, pas de raisons légitimes pour en
uploader un directement. Par contre on peut imaginer d'en mettre en place à
la main en ligne de commandes (pour pouvoir organiser le truc). Et dans le
futur on peut imaginer d'avoir une fonction similaire directement dans
l'appli. Donc OK pour vérifier à l'upload, mais aussi OK pour garder la
fonctionnalité dans l'accès.
2016-07-07 13:50 GMT+02:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
Bonjour,
J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait uploader
un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir
accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem dans une
archive dezippée dans la médiathèque.
Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
symbolique dans la médiathèque ?
À vos claviers…
--
Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
2:31 p.m.
Ok j'ai mes réponses, merci.
Le 7 juillet 2016 à 14:18, Julien Wajsberg <felash(a)gmail.com> a écrit :
j'ai du mal à voir comment ça marche techniquement; c'est
spécifique à une
plate-forme ou pour toutes les plates-formes ?
plutôt d'accord avec tout le monde, pas de raisons légitimes pour en
uploader un directement. Par contre on peut imaginer d'en mettre en place à
la main en ligne de commandes (pour pouvoir organiser le truc). Et dans le
futur on peut imaginer d'avoir une fonction similaire directement dans
l'appli. Donc OK pour vérifier à l'upload, mais aussi OK pour garder la
fonctionnalité dans l'accès.
2016-07-07 13:50 GMT+02:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
> Bonjour,
>
> J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait
uploader
> un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir
> accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem dans
une
> archive dezippée dans la médiathèque.
>
> Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
> symbolique dans la médiathèque ?
>
> À vos claviers…
>
> --
>
> Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
3:27 p.m.
Bon finalement je pense que c'est une fausse alerte :
1. Upload direct de symlink → on récupère un fichier avec le contenu du
fichier lié (le symlink n'est pas conservé dans la médiathèque)
2. Upload d'une archive avec le symlink dedans, puis dézip → on récupère un
fichier texte dont le contenu est le chemin du fichier lié (donc toujours
pas de symlink)
Le 7 juillet 2016 à 14:31, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
Ok j'ai mes réponses, merci.
Le 7 juillet 2016 à 14:18, Julien Wajsberg <felash(a)gmail.com> a écrit :
> j'ai du mal à voir comment ça marche techniquement; c'est spécifique à une
> plate-forme ou pour toutes les plates-formes ?
>
> plutôt d'accord avec tout le monde, pas de raisons légitimes pour en
> uploader un directement. Par contre on peut imaginer d'en mettre en place
> à
> la main en ligne de commandes (pour pouvoir organiser le truc). Et dans le
> futur on peut imaginer d'avoir une fonction similaire directement dans
> l'appli. Donc OK pour vérifier à l'upload, mais aussi OK pour garder la
> fonctionnalité dans l'accès.
>
> 2016-07-07 13:50 GMT+02:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
>
> > Bonjour,
> >
> > J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait
> uploader
> > un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir
> > accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem dans
> une
> > archive dezippée dans la médiathèque.
> >
> > Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
> > symbolique dans la médiathèque ?
> >
> > À vos claviers…
> >
> > --
> >
> > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
> > --
> > Dev mailing list - Dev(a)list.dotclear.org -
> > http://ml.dotclear.org/listinfo/dev
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
--
Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
5:31 p.m.
tu as essayé avec quoi comme types d'archive ?
Si c'est zip, ça supporte pas les symlinks, donc pas de surprises. Mais
est-ce que dotclear sait désarchiver des .tar.gz, qui, eux, supportent les
symlinks ?
2016-07-07 15:27 GMT+02:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
Bon finalement je pense que c'est une fausse alerte :
1. Upload direct de symlink → on récupère un fichier avec le contenu du
fichier lié (le symlink n'est pas conservé dans la médiathèque)
2. Upload d'une archive avec le symlink dedans, puis dézip → on récupère un
fichier texte dont le contenu est le chemin du fichier lié (donc toujours
pas de symlink)
Le 7 juillet 2016 à 14:31, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
> Ok j'ai mes réponses, merci.
>
> Le 7 juillet 2016 à 14:18, Julien Wajsberg <felash(a)gmail.com> a écrit :
>
>> j'ai du mal à voir comment ça marche techniquement; c'est spécifique à
une
>> plate-forme ou pour toutes les plates-formes ?
>>
>> plutôt d'accord avec tout le monde, pas de raisons légitimes pour en
>> uploader un directement. Par contre on peut imaginer d'en mettre en
place
>> à
>> la main en ligne de commandes (pour pouvoir organiser le truc). Et dans
le
>> futur on peut imaginer d'avoir une fonction similaire directement dans
>> l'appli. Donc OK pour vérifier à l'upload, mais aussi OK pour garder la
>> fonctionnalité dans l'accès.
>>
>> 2016-07-07 13:50 GMT+02:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
>>
>> > Bonjour,
>> >
>> > J'ai reçu un rapport de vulnérabilité m'informant qu'on
pouvait
>> uploader
>> > un symlink (fichier lien symbolique) dans la médiathèque et ainsi
avoir
>> > accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem
dans
>> une
>> > archive dezippée dans la médiathèque.
>> >
>> > Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien
>> > symbolique dans la médiathèque ?
>> >
>> > À vos claviers…
>> >
>> > --
>> >
>> > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
>> > --
>> > Dev mailing list - Dev(a)list.dotclear.org -
>> > http://ml.dotclear.org/listinfo/dev
>> --
>> Dev mailing list - Dev(a)list.dotclear.org -
>> http://ml.dotclear.org/listinfo/dev
>>
>
>
>
> --
>
> Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
>
--
Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
6:31 p.m.
Nope, uniquement du zip (et c'est du code maison) ;-)
Le 7 juillet 2016 à 17:31, Julien Wajsberg <felash(a)gmail.com> a écrit :
tu as essayé avec quoi comme types d'archive ?
Si c'est zip, ça supporte pas les symlinks, donc pas de surprises. Mais
est-ce que dotclear sait désarchiver des .tar.gz, qui, eux, supportent les
symlinks ?
2016-07-07 15:27 GMT+02:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
> Bon finalement je pense que c'est une fausse alerte :
>
> 1. Upload direct de symlink → on récupère un fichier avec le contenu du
> fichier lié (le symlink n'est pas conservé dans la médiathèque)
>
> 2. Upload d'une archive avec le symlink dedans, puis dézip → on récupère
un
> fichier texte dont le contenu est le chemin du fichier lié (donc toujours
> pas de symlink)
>
>
>
> Le 7 juillet 2016 à 14:31, Franck Paul <carnet.franck.paul(a)gmail.com> a
> écrit :
>
> > Ok j'ai mes réponses, merci.
> >
> > Le 7 juillet 2016 à 14:18, Julien Wajsberg <felash(a)gmail.com> a écrit
:
> >
> >> j'ai du mal à voir comment ça marche techniquement; c'est
spécifique à
> une
> >> plate-forme ou pour toutes les plates-formes ?
> >>
> >> plutôt d'accord avec tout le monde, pas de raisons légitimes pour en
> >> uploader un directement. Par contre on peut imaginer d'en mettre en
> place
> >> à
> >> la main en ligne de commandes (pour pouvoir organiser le truc). Et
dans
> le
> >> futur on peut imaginer d'avoir une fonction similaire directement dans
> >> l'appli. Donc OK pour vérifier à l'upload, mais aussi OK pour
garder
la
> >> fonctionnalité dans l'accès.
> >>
> >> 2016-07-07 13:50 GMT+02:00 Franck Paul <carnet.franck.paul(a)gmail.com
>:
> >>
> >> > Bonjour,
> >> >
> >> > J'ai reçu un rapport de vulnérabilité m'informant qu'on
pouvait
> >> uploader
> >> > un symlink (fichier lien symbolique) dans la médiathèque et ainsi
> avoir
> >> > accès ensuite au contenu du fichier pointé. C'est d'ailleurs
idem
dans
> >> une
> >> > archive dezippée dans la médiathèque.
> >> >
> >> > Question : il y-a-t'il des raisons légitimes de vouloir avoir un
lien
> >> > symbolique dans la médiathèque ?
> >> >
> >> > À vos claviers…
> >> >
> >> > --
> >> >
> >> > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
> >> > --
> >> > Dev mailing list - Dev(a)list.dotclear.org -
> >> > http://ml.dotclear.org/listinfo/dev
> >> --
> >> Dev mailing list - Dev(a)list.dotclear.org -
> >> http://ml.dotclear.org/listinfo/dev
> >>
> >
> >
> >
> > --
> >
> > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
> >
>
>
>
> --
>
> Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck — Operating Crocker’s rules (http://sl4.org/crocker.html)
2856
days inactive
2856
days old
8 comments
5 participants
participants (5)
-
Benoit CLERC -
Franck Paul -
Julien Wajsberg -
Lomalarch -
Luce Carević