Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] Accès libre à la session d'un aut re utilisateur

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Re: [sympa-fr] Accès libre à la session d'un aut re utilisateur

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: David Verdin <adresse@cachée>
  • To: adresse@cachée
  • Subject: Re: [sympa-fr] Accès libre à la session d'un aut re utilisateur
  • Date: Fri, 18 Mar 2011 11:33:13 +0100
Bonjour,

De rien !

J'ai mis à jour la documentation de Sympa pour éviter que d'autres personnes utilisent mod_fastcgi pour le moment.
Quand nous aurons eu la preuve que ce problème a disparu, nous retirerons cette note et ferons une annonce dans les listes.

Cordialement,

David Verdin

Le 12/02/11 21:30, David Verdin a écrit :
Bonjour,

C'est un bug connu de certaines versions de mod_fastcgi (je ne suis pas sûr desquelles). La version stable la plus récente semble avoir corrigé le problème.
Deux solutions :
  1. Aller vérifier sur le site de mod_fastcgi quelle version corrige le problème et l'installer.
  2. Utiliser mod_fcgid qui ne pose pas ce problème.
Cordialement,

David Verdin

Le 12/02/11 19:44, adresse@cachée a écrit : 
Bonjour,
je viens d'installer sympa pour un usage personnel, et j'ai un problème de la
même nature :

Si je me connecte avec un utilisateur (n'importe lequel), n'importe qui  sera
connecté avec ce même compte (même depuis un ordinateur sur un réseau
complètement différent). Et dès que je déconnecte l'utilisateur en question,
celui-ci est immédiatement déconnecté partout ailleurs.

Je ne trouve rien à ce sujet sur mon moteur de recherche préféré ou dans la
faq de sympa, quelqu'un saurait-il d'où vient cette énorme faille de sécurité
dans ma config de sympa ?
Voici une copie de mon fichier de configuration wwsympa.conf et de mon
apache.conf.

Merci d'avance pour votre aide,
--
Cyril Cohen

wwsympa.conf :
=================
###\\\\ Directories and file location ////###

## File containing archived PID while running.
archived_pidfile        /var/run/sympa/archived.pid

## File containing bounced PID while running.
bounced_pidfile /var/run/sympa/bounced.pid

## File containing task_manager PID while running.
task_manager_pidfile    /var/run/sympa/task_manager.pid

## Where to store HTML archives
## Better if not in a critical partition
arc_path        /var/lib/sympa/wwsarchive

## Where to store bounces
## Better if not in a critical partition
bounce_path     /var/spool/sympa/wwsbounce

###\\\\ Syslog ////###

###\\\\ General definition ////###

## Password case (insensitive | sensitive)
## Should not be changed ! May invalid all user password
password_case   insensitive

## HTTP cookies lifetime
cookie_expire   0

## HTTP cookies validity domain
cookie_domain   localhost

###\\\\ Errors management ////###

###\\\\ MTA related ////###

###\\\\ Pluggin ////###

## Path to MhOnarc mail2html pluggin
## This is required for HTML mail archiving
mhonarc /usr/bin/mhonarc

###\\\\ S/MIME pluggin ////###

###\\\\ Database ////###

###\\\\ Web interface ////###

## Is fast_cgi module for Apache (or Roxen) installed (0 | 1)
## This module provide much faster web interface
use_fast_cgi    1

## Title of main web page
title   Mailing lists service

## Icons directory (web) location for Sympa
# icons_url     /icons

## Main page type (lists | home)
default_home    home

## Default index organization (thrd | mail)
archive_default_index   thrd
=================

apache.conf
=================
#-*- mode: conf -*-
	<Directory /var/lib/sympa/static_content>
                Options Indexes +FollowSymLinks MultiViews
                AllowOverride None
		Order allow,deny
                Allow from all
        </Directory>
	<Directory /usr/share/sympa/icons>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
		Order allow,deny
		Allow from all
	</Directory>

	<IfModule mod_fastcgi.c>
                  AddHandler fastcgi-script .fcg .fcgi .fpl .pl

                  <Location /wws>
                      SetHandler fastcgi-script
                  </Location>

                  Alias /wwsicons /usr/share/sympa/icons
                  Alias /static-sympa /var/lib/sympa/static_content

                  ScriptAlias /wws /usr/lib/cgi-bin/sympa/wwsympa.fcgi
                  #ScriptAlias /wws /usr/lib/cgi-bin/sympa/wwsympa-wrapper.pl
	</IfModule>
=================

--
David Verdin
Comité réseau des universités

Due to the limitations of human brain, I fail to remember all the mails.
So if you want your bug reports or feature requests for Sympa to be processed, please post them to the Sympa tracker

--
David Verdin
Comité réseau des universités

Due to the limitations of human brain, I fail to remember all the mails.
So if you want your bug reports or feature requests for Sympa to be processed, please post them to the Sympa tracker

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature


Archives gérées par MHonArc 2.6.19+.

Haut de le page