Bon finalement je pense que c'est une fausse alerte : 1. Upload direct de symlink → on récupère un fichier avec le contenu du fichier lié (le symlink n'est pas conservé dans la médiathèque)
2. Upload d'une archive avec le symlink dedans, puis dézip → on récupère un fichier texte dont le contenu est le chemin du fichier lié (donc toujours pas de symlink) Le 7 juillet 2016 à 14:31, Franck Paul <[email protected]> a écrit : > Ok j'ai mes réponses, merci. > > Le 7 juillet 2016 à 14:18, Julien Wajsberg <[email protected]> a écrit : > >> j'ai du mal à voir comment ça marche techniquement; c'est spécifique à une >> plate-forme ou pour toutes les plates-formes ? >> >> plutôt d'accord avec tout le monde, pas de raisons légitimes pour en >> uploader un directement. Par contre on peut imaginer d'en mettre en place >> à >> la main en ligne de commandes (pour pouvoir organiser le truc). Et dans le >> futur on peut imaginer d'avoir une fonction similaire directement dans >> l'appli. Donc OK pour vérifier à l'upload, mais aussi OK pour garder la >> fonctionnalité dans l'accès. >> >> 2016-07-07 13:50 GMT+02:00 Franck Paul <[email protected]>: >> >> > Bonjour, >> > >> > J'ai reçu un rapport de vulnérabilité m'informant qu'on pouvait >> uploader >> > un symlink (fichier lien symbolique) dans la médiathèque et ainsi avoir >> > accès ensuite au contenu du fichier pointé. C'est d'ailleurs idem dans >> une >> > archive dezippée dans la médiathèque. >> > >> > Question : il y-a-t'il des raisons légitimes de vouloir avoir un lien >> > symbolique dans la médiathèque ? >> > >> > À vos claviers… >> > >> > -- >> > >> > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) >> > -- >> > Dev mailing list - [email protected] - >> > http://ml.dotclear.org/listinfo/dev >> -- >> Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev >> > > > > -- > > Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) > -- Franck — Operating Crocker’s rules (http://sl4.org/crocker.html) -- Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
