Apache France - Les nouvelles


Accueil \| Recherche \| News \| Articles \| Téléchargement \| Forums \| Commentaires \| A propos

Recherche

Catégories

• Apache
• PHP
• Système
• Tomcat

Webmestres

   Page de démarrage
    Ajouter aux favoris
    Les news sur
    votre site

Dernières versions

Apache 2.2.8
Apache 2.0.63
Apache 1.3.41
PHP 4.4.7
PHP 5.2.4
MySQL 5.0.45
MySQL 4.1.22
MySQL 4.0.27
phpMyAdmin 2.11.0
Tomcat 5.5.20
Tomcat 4.1.34
Tomcat 3.3.2

Derniers modules

mod_auth_bsd 1.2
mod_design 0.4
mod_ometer 1.2.0
mod_epp 1.0
mod_mono 0.3.6

Statistiques

Apache
PHP

Documentation

Apache 1.3
Apache 1.3 VF
Apache 2.0
Tomcat 3
Tomcat 4
PHP
MySQL

Liens

Apache
Apache Project
Jakarta Project
Liste des bugs
Apache Today
Apache Week
Apache Reference
Apache@Slashdot
Reference cards

PHP/MySQL
PHP
MySQL
PHP Index
PHP Team

Vulnérabilité dans Apache
Posté le 23/09/2001 @ 17:18:38
Source : Security Focus

Un trou de sécurité a été détecté dans la version d'Apache livrée avec Linux Red Hat 7.0 (et peut-être d'autres distributions). En effet, une erreur de configuration permet à un internaute de déterminer la liste des utilisateurs déclarés sur le système.

Lorsqu'un internaute fait une requête pour obtenir la page d'accueil d'un éventuel utilisateur (http://www.mondomaine.com/~utilisateur/ par exemple), le serveur Apache peut fournir 3 réponses différentes :
Si l'utilisateur spécifié existe, et qu'il a créé une page dans un répertoire public_html (paramètre par défaut) de son répertoire personnel, alors le serveur répond avec un code HTTP 200 (la requête est correcte) et renvoie la page d'accueil de cet utilisateur.
Autre cas de figure, l'utilisateur spécifié existe, mais n'a pas de page d'accueil, le serveur répond avec un code HTTP 403 et le message "Vous ne pouvez pas accéder au répertoire /~utilisateur sur ce serveur".
Mais si l'utilisateur spécifié n'existe pas sur le système faisant tourner Apache, le code HTTP renvoyé est cette fois 404 (page introuvable) et le message "l'URL spécifiée /~utilisateur n'a pu être trouvée sur ce serveur".

Du fait de cette différence dans les codes HTTP renvoyés, un internaute mal intentionné peut en quelque sorte lister les utilisateurs créés sur le serveur Apache, et donc exploiter cette information lors d'une tentative d'intrusion.

Solution n°1 :
Désactiver la gestion des répertoires utilisateurs au niveau d'Apache :
% echo 'UserDir Disabled' >> /var/www/conf/httpd.conf

Solution n°2 :
Spécifier dans le fichier httpd.conf une page à afficher lors d'une erreur 403 ou 404 :
% echo 'ErrorDocument 404 http://www.mondomaine.com/erreur.html' >> /var/www/conf/httpd.conf
% echo 'ErrorDocument 403 http://www.mondomaine.com/erreur.html' >> /var/www/conf/httpd.conf
% apachectl restart


< Nimda : Apache touché indirectement	Cours gratuit sur Apache >

Posts récents des forums
	• Récupération de la valeur d'une variable dans un htaccess dans PHP • Réécriture d'url dans Général • Upgrader ou ajouter un serveur ? dans Général • Pare feu, virtual host ou autre ? dans Configuration • Plantage Apache avec le module de paiementATOS (request.exe) dans Général • Apache plante à la connexion MySQL dans Configuration • Php 5.1.2 -> php 5.2.0 dans Configuration • Jmeter : variables dans un "Regular Expression Extractor" dans Outils liés à Apache • ajouter le rewriting (debian) dans Configuration • Problème: configuration Apache/Python dans Configuration Les Forums