Attendez, il y a un truc que je capte pas bien. Pourquoi la faille n'est pas fixée cote nginx ? Ca parait super simple a détecter au niveau de la config pour le logiciel, mais super pénible a détecter a la lecture pour l'admin.
Parce que j'ai peur que rajouter automatiquement un / sur location casse des configurations. Il faut aussi voir que location peut utiliser des expressions régulières, etc, donc ça peut être dur de voir le souci même du coté de nginx.
Comme c'est un souci de sécurité que si alias est utilisé, et comme la config de nginx peut aussi utiliser des variables (et des ifs), je ne suis pas sur qu'on puisse avoir une détection robuste sauf dans les cas triviaux (qui couvre sans doute la majorité des cas).
Ceci dit, un warning dans les cas simples serait sans doute une bonne idée.
La je suis vraiment pas d'accord avec toi, si je met un dossier dans la config d'un serveur web, je m'attends a ce que ce soit blinde contre les path traversal. C'est vraiment la base.
Je sais pas, mais si tu matches une regexp de la config, tu dois pas pouvoir remonter au dessus du dossier indique dans la config quand tu résous le path absolu demande au moment de la requête.
Et la directive root pour donner le contexte, non?
Mais, est ce qu'il est nécessaire d'utiliser les alias? ne serait-ce pas une preuve d'une mauvaise conception du logiciel ?(pas de Nginx, mais application)
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# Pas de fix ?
Posté par flagos . Évalué à 3.
Attendez, il y a un truc que je capte pas bien. Pourquoi la faille n'est pas fixée cote nginx ? Ca parait super simple a détecter au niveau de la config pour le logiciel, mais super pénible a détecter a la lecture pour l'admin.
[^] # Re: Pas de fix ?
Posté par Misc (site web personnel) . Évalué à 6.
Tu as un correctif en tête ?
Parce que j'ai peur que rajouter automatiquement un / sur location casse des configurations. Il faut aussi voir que location peut utiliser des expressions régulières, etc, donc ça peut être dur de voir le souci même du coté de nginx.
Comme c'est un souci de sécurité que si alias est utilisé, et comme la config de nginx peut aussi utiliser des variables (et des ifs), je ne suis pas sur qu'on puisse avoir une détection robuste sauf dans les cas triviaux (qui couvre sans doute la majorité des cas).
Ceci dit, un warning dans les cas simples serait sans doute une bonne idée.
[^] # Re: Pas de fix ?
Posté par GG (site web personnel) . Évalué à 2.
par exemple dans
ou bien
Ajouter un / à la fin va tout casser, n'est ce pas?
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas de fix ?
Posté par flagos . Évalué à 2.
La je suis vraiment pas d'accord avec toi, si je met un dossier dans la config d'un serveur web, je m'attends a ce que ce soit blinde contre les path traversal. C'est vraiment la base.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2. Dernière modification le 04 juillet 2023 à 13:45.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Pas de fix ?
Posté par flagos . Évalué à 2. Dernière modification le 04 juillet 2023 à 14:02.
Oui c'est vraiment piégeux, je savais pas. C'est même pas indique dans la doc: https://nginx.org/en/docs/http/ngx_http_core_module.html#alias
[^] # Re: Pas de fix ?
Posté par flagos . Évalué à 3.
Je sais pas, mais si tu matches une regexp de la config, tu dois pas pouvoir remonter au dessus du dossier indique dans la config quand tu résous le path absolu demande au moment de la requête.
Franchement c'est chaud comme bug.
[^] # Re: Pas de fix ?
Posté par Misc (site web personnel) . Évalué à 3.
Oui, et je pense que la solution de fond, c'est un chroot, ou un truc qui s'approche (selinux, apparmor, etc).
Tu n'as pas l'air de pouvoir limiter nginx a un répertoire (vu qu'on retrouve des traces de la faille il y a 4 ans)
[^] # Re: Pas de fix ?
Posté par GG (site web personnel) . Évalué à 2.
Et la directive root pour donner le contexte, non?
Mais, est ce qu'il est nécessaire d'utiliser les alias? ne serait-ce pas une preuve d'une mauvaise conception du logiciel ?(pas de Nginx, mais application)
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.