Objet :
Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
- From: David Verdin <adresse@cachée>
- To: adresse@cachée, adresse@cachée
- Cc: adresse@cachée
- Subject: Re: [sympa-fr] Accès libre à la session d'un aut re utilisateur
- Date: Sat, 12 Feb 2011 21:30:03 +0100
Bonjour,
C'est un bug connu de certaines versions de mod_fastcgi (je ne suis
pas sûr desquelles). La version stable la plus récente semble avoir
corrigé le problème.
Deux solutions :
- Aller vérifier sur le site de mod_fastcgi quelle version
corrige le problème et l'installer.
- Utiliser mod_fcgid qui ne pose pas ce problème.
Cordialement,
David Verdin
Le 12/02/11 19:44, adresse@cachée a écrit :
adresse@cachée">
Bonjour,
je viens d'installer sympa pour un usage personnel, et j'ai un problème de la
même nature :
Si je me connecte avec un utilisateur (n'importe lequel), n'importe qui sera
connecté avec ce même compte (même depuis un ordinateur sur un réseau
complètement différent). Et dès que je déconnecte l'utilisateur en question,
celui-ci est immédiatement déconnecté partout ailleurs.
Je ne trouve rien à ce sujet sur mon moteur de recherche préféré ou dans la
faq de sympa, quelqu'un saurait-il d'où vient cette énorme faille de sécurité
dans ma config de sympa ?
Voici une copie de mon fichier de configuration wwsympa.conf et de mon
apache.conf.
Merci d'avance pour votre aide,
--
Cyril Cohen
wwsympa.conf :
=================
###\\\\ Directories and file location ////###
## File containing archived PID while running.
archived_pidfile /var/run/sympa/archived.pid
## File containing bounced PID while running.
bounced_pidfile /var/run/sympa/bounced.pid
## File containing task_manager PID while running.
task_manager_pidfile /var/run/sympa/task_manager.pid
## Where to store HTML archives
## Better if not in a critical partition
arc_path /var/lib/sympa/wwsarchive
## Where to store bounces
## Better if not in a critical partition
bounce_path /var/spool/sympa/wwsbounce
###\\\\ Syslog ////###
###\\\\ General definition ////###
## Password case (insensitive | sensitive)
## Should not be changed ! May invalid all user password
password_case insensitive
## HTTP cookies lifetime
cookie_expire 0
## HTTP cookies validity domain
cookie_domain localhost
###\\\\ Errors management ////###
###\\\\ MTA related ////###
###\\\\ Pluggin ////###
## Path to MhOnarc mail2html pluggin
## This is required for HTML mail archiving
mhonarc /usr/bin/mhonarc
###\\\\ S/MIME pluggin ////###
###\\\\ Database ////###
###\\\\ Web interface ////###
## Is fast_cgi module for Apache (or Roxen) installed (0 | 1)
## This module provide much faster web interface
use_fast_cgi 1
## Title of main web page
title Mailing lists service
## Icons directory (web) location for Sympa
# icons_url /icons
## Main page type (lists | home)
default_home home
## Default index organization (thrd | mail)
archive_default_index thrd
=================
apache.conf
=================
#-*- mode: conf -*-
<Directory /var/lib/sympa/static_content>
Options Indexes +FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
<Directory /usr/share/sympa/icons>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>
<IfModule mod_fastcgi.c>
AddHandler fastcgi-script .fcg .fcgi .fpl .pl
<Location /wws>
SetHandler fastcgi-script
</Location>
Alias /wwsicons /usr/share/sympa/icons
Alias /static-sympa /var/lib/sympa/static_content
ScriptAlias /wws /usr/lib/cgi-bin/sympa/wwsympa.fcgi
#ScriptAlias /wws /usr/lib/cgi-bin/sympa/wwsympa-wrapper.pl
</IfModule>
=================
--
David Verdin
Comité réseau des universités
Due to the limitations of human brain, I fail to remember all the
mails.
So if you want your bug reports or feature requests for Sympa to
be processed, please post them to the Sympa
tracker
|
Archives gérées par MHonArc 2.6.19+.
