Gestionnaire de média et types de fichiers › Blog Dotclear › Dotclear

La mise à jour de sécurité Dotclear 1.2.8 peut vous amener à vous poser la question de Dotclear 2. N'est-il pas vulnérable au même problème ?

Le gestionnaire de média de Dotclear 2 permet d'envoyer n'importe quel fichier (ou presque). On estime donc que l'utilisateur a pris ses dispositions afin que les fichiers ".php" soient affichés en text/plain et pas interprétés. Par exemple, votre configuration Apache peut contenir quelque chose comme :

<Location ~ "public/.*\.php$">
  ForceType text/plain
</Location>

Ce n'est qu'un exemple d'une configuration très simple avec un dossier nommé "public" pour les fichiers du gestionnaire de média.

Ceci étant, il est maintenant possible depuis la révision 1714 de spécifier une expression rationnelle pour les fichiers non autorisés dans le gestionnaire de média. Dans votre module "about:config", vous trouverez un champs "media_exclusion". Si vous voulez interdire le dépôt de tous les fichiers .php, vous indiquez dans le champs : /\.php$/i. Si, pour cause de possession démoniaque, vous voulez interdire l'envoi de fichiers gif, jpg et png, vous indiquez : /\.(gif|png|jp(e?)g)/i.

Exceptionnellement, la révision 1714 est déjà dans les nightly :)

Commentaires

1 Le vendredi 18 avril 2008, 15:37 par Olivier

Visiblement, une stratégie de blacklist a été retenue, pourquoi pas une whitelist plutôt ? N'autoriser que les extensions de fichier choisies par l'utilisateur me semblerait une approche plus saine de la sécurité à ce niveau (mieux, une approche par mime types)

2 Le vendredi 18 avril 2008, 15:43 par Olivier

C'est une regexp, donc il est parfaitement possible de nier la négation :)

/(?<!\.(png|jpg))$/i permet de n'autoriser que les fichiers png et jpg

3 Le dimanche 20 avril 2008, 16:10 par llaumgui

Je viens de faire un svn co mais je n'ai pas de champs "media_exclusion"... C'est normal ?

4 Le dimanche 20 avril 2008, 17:35 par Sacha

Olivier (auteur du #1),

Les expressions rationnelles prévoient les assertions négatives qui permettent de créer une whitelist dans ce cas-là. Par exemple, pour interdire tous les fichiers sauf les images GIF, JPEG et PNG, tu peux écrire :

/^(?>.*)(?<!\.gif|\.jpg|\.jpeg|\.png)/i

5 Le dimanche 20 avril 2008, 17:37 par Sacha

Ah, bizarre, j'avais consulté aujourd'hui la page et je n'ai pas vu les nouveaux commentaires. :/

6 Le mardi 22 avril 2008, 09:25 par llaumgui

Faut rajouter "RemoveHandler php" dans le fichier de conf d'apache. Ce qui devient :
<Location ~ "public/.*\.php$">
RemoveHandler php
ForceType text/plain
</Location>

7 Le mardi 22 avril 2008, 09:32 par Olivier

Oui oui, avec un PHP en CGI. Même qu'avec lighttpd, il ne faut pas faire la même chose...

8 Le jeudi 1 mai 2008, 21:30 par Olivier G.

est-ce que ça permet aussi de bloquer un fichier .htaccess ?

9 Le vendredi 2 mai 2008, 09:28 par Sacha

Olivier G. Oui :)

/^(?>.*)(?<!\.gif|\.jpg|\.jpeg|\.png|\.htaccess)/i

10 Le vendredi 2 mai 2008, 11:16 par Olivier

Tous les fichiers commençant par un point sont exclus par défaut.

Dotclear

Blog Dotclear » Gestionnaire de média et types de fichiers

Commentaires

Recherche

Catégories

Sites map