The Troll's factory

Geekeries & pensées
-->

Ce dont j’aurais pu vous parler ces deux dernières semaines

Voici un résumé [très] rapide des petits coups de buzz ou infos’ intéressantes dont je n’ai pas eu le temps de faire le relais mais que je lie quand même histoire que ceux que ça intéresse et qui n’ont pas encore trouvé l’info l’ait :

Buzz :

L’UMP en string : Un candidat UMP aux régionales se fait faire un site Internet sur mesure… Sauf que les petits malins qui font son site Internet n’ont pas tout à fait mesuré l’ampleur de mettre une vidéo trop déplacée, malgré le buzz généré et l’humour (de mauvais goût tout de même) utilisée sur le site d’un élu. Ainsi, comme il paraît qu’en France ça fonctionne par « partis » (ah ! s’ils pouvaient être « partis » ailleurs ceux-là !) tout l’UMP est embarqué dans la polémique… plus d’infos ici : l’UMP en string (on arrive un peu trop tard d’ailleurs, vidéo YouTube retirée, dommage !).

Le LipDub de l’UMP plus cher que prévu : Ici c’est un anti-hadopi bien connu (auteur du blog LinuxManua) qui nous parle d’une petite erreur supplémentaire dans la gestion des relations aux droits d’auteurs à l’UMP… Pour la deuxième fois, l’UMP Pirate ! Les Canadiens devraient récupérer 30 000 environs, cool… mais qui finance l’UMP au fait ? Nos sous en fumée chez BlueTouff’s blog.

Microsoft toujours aussi « téléchargeable » : Un outil confectionné par Microsoft pour la police (Française notamment) regroupant tout un tas de petits outils, ayant pour but de pouvoir infiltrer et récupérer le plus d’informations possible d’un ordinateur rapidement via une simple clé USB (en d’autres termes, pirater rapidement l’ordinateur du particulier qui a contredit l’omniprésident) s’est retrouvé disponible au téléchargement sur Internet.
Non seulement maintenant on va pouvoir se servir de leur propre outil contre eux-même, mais en plus, du coup, les hackers n’ont pas mis longtemps à sortir… un antidote !! (bien plus rapidement que ce que Microsoft avait fait pour confectionner l’outil… à mon humble avis !!). Petite review de l’outil « Cofee »[en] et DECAF, son antidote (DECAF = Décaféïné ? Le logiciel d’origine s’appelle « Cofee » (Café sans le deuxième « f »)… )

Droits des internautes, IMPORTANT !

Deux liens très importants cette semaine :

La cours de cassation confirme qu’il sera dorénavant considéré comme un délit pénal que de mettre en ligne des informations sur l’exploitation d’une faille de sécurité informatique : tous les sites de sécurité illégaux ? Ca, ça rappelle le principe du radar automatique !! Cour de cassation confirme le délit pénal de tous les sites de sécurité sur Numerama

Hadopi encore retardée : On en attendait pas moins de la CNIL, qui, ne bénéficiant que d’un avis consultatif, bénéficie tout de même d’un avis légalement et procéduralement obligatoire. Ainsi pour bloquer encore un peu la publication de cette stupide loi anticonstitutionnelle contre laquelle la CNIL avait émis plusieurs lettres de dénonciation, la CNIL a tout bonnement décidé de refuser de donner son avis (sous prétexte d’attendre un autre papier de la part du gouvernement). Comme tout ça c’est du fonctionnariat et que les fêtes de fin d’année arrive, on prévoit que la loi ne puisse être définitivement terminée & autorisée à appliquer vers Février pour les plus optimistes et Avril pour les plus réalistes. Hadopi encore retardée, merci la CNIL !

Voilà c’est fini pour les liens de la semaine :) Oui on est pas en fin de semaine, mais étant donné que les fêtes de Noël vont commencer, je pense qu’on peut approximer ce jour à une fin de semaine =)

Et pour finir, si la fibre optique ne passe pas chez vous, il vous reste les toilettes !!

posté par Troll dans High-tech,politique avec aucun commentaire

Du safe_mode avec DTC : danger & sécurité

Comme je vous le promettais hier je vous parle aujourd’hui des enjeux et des dangers que j’ai découverts pour le safe_mode (ou plutôt sa désactivation) utilisé avec le panel de gestion de serveur DTC.

Tout d’abord, petit retour rapide sur le fonctionnement de DTC :

DTC crée un utilisateur « dtc » et un groupe « dtcgrp » avec lesquels il fait la plupart de ce qu’il a à faire. Ainsi le ftp est géré par l’utilisateur DTC, les connexions en SSH également (mais justement il y a de sacrés bugs là-dessus), les connexions imap, smtp, etc… etc… et également les connexions HTTP, et donc les lancements d’Apache2 !

Concrètement, DTC est fait pour gérer un serveur dédié et donc proposer divers hébergements à divers sites.

Il crée toute une arborescence à laquelle on adhère ou non mais qui a le mérite d’être relativement claire et facile à utiliser et retenir.

Tous les fichiers de tous les sites appartiennent ainsi à un seul et unique couple user/groupe : dtc/dtcgrp.

DTC utilise énormément le principe plus ou moins bon des chroot pour lancer ses scripts de manière à les « endiguer » et qu’ils n’aillent pas faire n’importe quoi, particulièrement sur les fichiers appartenant à DTC sur le serveur.

Cependant DTC n’a pas prévu une chose… c’est l’utilisation de la commande shell_exec() de PHP (PHP 5 notamment, je ne sais pas pour le 4).

Par défaut, le safe_mode étant activé avec PHP, la commande shell_exec est quasiment inutilisable.

Cependant, si par malheur vous désactiver le safe_mode sur un domaine particulier… catastrophe ! Vous venez d’autoriser la personne qui s’occupe du site de ce domaine, à faire n’importe quoi sur le serveur (enfin sauf tâches d’administration (root) ).

Non seulement parce-qu’elle peut maintenant utiliser shell_exec() pour effectuer des actions au niveau de l’utilisateur dtc, mais surtout parce-que, même si certaines commandes sont bridées, shell_exec() permet d’utiliser la commande crontab.

Or, crontab permet de définir des tâches cron (je vous renvoie à Google si vous ne savez pas ce que c’est : cron est un gestionnaire de tâches planifiées). Or, quand cron lance la tâche, qu’elle qu’elle soit, elle est lancée au niveau de l’utilisateur auquel le cron appartient.

Concrètement si je fais ceci :

file_put_contents('temp.cron', '* * * * * cp /chemin/dun/autre/site/includes/passwordsdatabase.inc.php /chemin/de/mon/site/');
shell_exec('crontab -u dtc /chemin/de/mon/site/temp.cron');

Hop, plus qu’à attendre une minute et j’aurais dans mes fichiers… les mots de passe de la base de données de mon voisin sur le serveur.

C’est un problème très important, donc, et je ne sais pas du tout comment DTC compte gérer les choses dans le futur puisque le safe_mode est amené à disparaîre : déjà considéré comme obsolète dans PHP 5, il sera définitivement supprimé avec PHP 6.

Il est possible que – comme souvent en informatique – GPLHost (éditeur de DTC) dise simplement « Logiciel compatible uniquement avec les versions suivantes de PHP : …. ».

En attendant, vous êtes donc maintenant au courant : NE DESACTIVEZ PAS LE SAFE_MODE PHP SI VOUS UTILISEZ DTC AVEC PLUSIEURS SITES DIFFERENTS.

Cependant, il y a certainement une alternative à cela : j’imagine bien que PHP ou Apache ont la possibilité d’interdire certaines commandes. Ainsi lorsque vous désactivez le safe_mode, pensez à interdire l’utilisation de la commande shell_exec().

Voilà c’était le bulletin sécurité (en exclu !!) du Troll :)

posté par Troll dans Scripts, astuces, dév. web avec aucun commentaire