je transefere ce qui suit si cela peut etre utile à quelques spipedes qui
gerent leurs serveurs
@+
nicolas
********************************************
De : Octave <oles@ovh.net>
Répondre à : hosting@ml.ovh.net
Date : Fri, 20 Jun 2003 12:05:44 +0200
À : dedies@ml.ovh.net
Cc : hosting@ml.ovh.net
Objet : [hosting] bug de securité sur phpmyadmin
Salut,
Il existe un bug de securité sur phpmyadmin, connu depuis hier
et il n'existe toujours pas de patch pour fixer ce bug.
http://www.securityfocus.com/archive/1/325641
Quand vous êtes loggé sur phpmyadmin, il est possible de visualiser
l'arbo de la machine, les repertoires et le listing des fichiers.
Au niveau des hébergements mutualisés, il n'y a pas problème puisque
tous les scripts php sont executés en suexec et donc il existe des
protections contre ce genre des choses à un niveau plus haut.
Sachez quand même qu'il existe possible de voir tout votre arbo du
site avec la liste des fichiers.
En serveur dédié, php est compilé en mod_php et donc il est possible
de visualiser l'ensemble des repertoires. Nous vons conseilons de:
- changer l'option dans php.ini pourque php ne sort pas les erreurs
display_errors = Off
- bloquer le fichier db_details_importdocsql.php (en le passant en
chmod 0 par exemple).
Une fois que la version ce problème sera disponible nous allons publier
un patch pour fixer ce bug.
Amicalement
Octave
---------------------------------------------------------------------
Desinscription : mailto:hosting-unsubscribe@ml.ovh.net
Les liens utiles : http://faq.ovh.fr
Les archives de la mailing news://ml.ovh.net ou http://ml.ovh.net/
---------------------------------------------------------------------