test.php.txt est exécuté

seebz · 29/12/2008, 09h04

Bonjour,

je viens de me rendre compte que des fichiers contenant '.php.' dans leur nom son exécutés comme étant des fichiers .php

ainsi, test.php.txt, test.php.zzz, test.php.jpg sont exécutés !!!

ce pourrait être une grande faille de sécurité, n'y a-t-il pas moyen d'empêcher cela ?

(testé sur 240plan et xxlplan)

ktp · 29/12/2008, 09h10

Oui, très grande faille de sécurité. Sans doute effet de Multiviews par défaut.

Essaie d'ajouter cette ligne dans ton fichier .htaccess (à la racine de ton site) :
Options -Indexes +FollowSymlinks -MultiViews

seebz · 29/12/2008, 09h13

Salut ktp,

merci pour ta réponse rapide mais ca ne résoud pas le problème

ktp · 29/12/2008, 09h33

@seebz

Exact, je viens de tester sur un 90plan, le problème est là, donc très grande faille, surtout si tu héberges par exemple un forum permettant d'uploader les fichiers images (gif, jpg etc...).

Il faut rapidement en trouver une solution.

ktp · 29/12/2008, 09h43

Wow ! Solution trouvée : ajouter cette ligne dans le .htaccess :
--- ligne supprimée ---

Sans doute à avertir les autres utilisateurs du mutualisé du problème.

Edit: oops, mauvaise solution, car maintenant les php ne sont plus exécutés. A priori problème de mime et de handler, à regarder de plus près.

ktp · 29/12/2008, 10h28

@Michel74
On ne cherche pas à bloquer, on veut simplement que le serveur réagisse correctement selon l'extension du fichier.

C'est une très grosse faille là. Par exemple sur un forum on autorise le plus souvent l'upload des images (type gif, jpg etc... pour illustrer un post ou comme attachement). Si un hacker uploade un fichier de nom cxxx.php.jpg, l'upload sera accepté, mais alors le fameux shell cxxx (programme php) sera exécuté juste en invoquant l'URL (ce qui revient à dire que n'importe qui peut uploader tous les programmes php qu'il veut). C'est une faille classique des forums.

Ceci est similaire au monde Windows où certains virus se présentent sous forme de fichier de nom readme.txt.exe. Comme Windows (explorer) par défaut masque les extensions connues, le fichier se présente dans la liste comme readme.txt (sans extension .exe), l'utilisateur ignorant va cliquer sur le fichier pour voir le fichier texte et alors il a exécuté l'exécutable (virus) readme.txt.exe !
Il faut donc que le serveur (via type MIME ?) agisse correctement selon l'extension du fichier. Un cxxx.php.txt est du texte, et ne doit pas être exécuté (même si son contenu est du php). Idem pour cxx.php.jpg etc... Tout ceci est normal et doit être comme cela aussi déjà sur les serveurs dédiés.

seebz · 29/12/2008, 10h53

Citation:

Envoyé par Michel74

Bonjour Seebz et ktp,

Je ne comprends pas pourquoi vous cherchez absolument à bloquer les fichiers de tels que test.php.txt, test.php.zzz, test.php.jpg.

Il vaut beaucoup mieux avoir une gestion correcte des noms des fichiers installés sur ton serveur.

D'accord sur le principe mais il faut avouer que le comportement actuel n'est pas correct et que ce serait mieux de pouvoir résoudre le problème à la source.

Pour ma part, je renomme dynamiquement les fichiers uploadés mais on est pas à l'abri d'un oubli.
Je me suis rendu compte de ce problème en uploadant volontairement un fichier nommé machin.php.txt afin de permettre la lecture du contenu et ca n'a pas donné l'effet attendu.

Pour ma part, il s'agit d'une faille qui doit pouvoir être corrigée/contournée (par nous via .htacces ou ovh via config serveur)

ktp · 29/12/2008, 11h14

Une référence sur les fichiers avec extensions multiples et Apache :
http://httpd.apache.org/docs/2.0/mod...ml#multipleext

Citation:

Envoyé par seebz

Pour ma part, il s'agit d'une faille qui doit pouvoir être corrigée/contournée (par nous via .htacces ou ovh via config serveur)

Il serait souhaitable et plus pratique que la solution vienne d'OVH.

ktp · 29/12/2008, 11h30

Citation:

Envoyé par Michel74

Pour moi, c'est d'abord le suffixe FINAL qui détermine pour APACHE le type d'action à effectuer.
Et ceci quelque soit les éventuels suffixes placés avant le suffixe final.

Tout à fait, mais le problème est que sur le seveur mutualisé justement ce n'est pas le cas ! test.php.txt est pris comme test.txt.php ou encore test.php. C'est là le problème !

seebz · 29/12/2008, 13h02

Citation:

Envoyé par Michel74

Pour moi, c'est d'abord le suffixe FINAL qui détermine pour APACHE le type d'action à effectuer.
Et ceci quelque soit les éventuels suffixes placés avant le suffixe final.

C'est ce qu'on dit, dans l'exemple , les suffixes sont .txt, .zzz et .jpg , or ils sont traités comme .php

N'y a-t-il que ktp et moi qui trouvons ça étrange ?

Je suis d'accord de faire les tests nécessaires et/ou supprimer des fichiers mais apache ne doit PAS traiter un fichier xxx.php.TXT avec php

29/12/2008, 09h04	#1
seebz Membre Date d'inscription: novembre 2007 Messages: 37	test.php.txt est exécuté Bonjour, je viens de me rendre compte que des fichiers contenant '.php.' dans leur nom son exécutés comme étant des fichiers .php ainsi, test.php.txt, test.php.zzz, test.php.jpg sont exécutés !!! ce pourrait être une grande faille de sécurité, n'y a-t-il pas moyen d'empêcher cela ? (testé sur 240plan et xxlplan)

29/12/2008, 09h10	#2
ktp Membre Date d'inscription: juin 2008 Messages: 1 022	Re : test.php.txt est exécuté Oui, très grande faille de sécurité. Sans doute effet de Multiviews par défaut. Essaie d'ajouter cette ligne dans ton fichier .htaccess (à la racine de ton site) : Options -Indexes +FollowSymlinks -MultiViews

29/12/2008, 09h13	#3
seebz Membre Date d'inscription: novembre 2007 Messages: 37	Re : test.php.txt est exécuté Salut ktp, merci pour ta réponse rapide mais ca ne résoud pas le problème

29/12/2008, 09h33	#4
ktp Membre Date d'inscription: juin 2008 Messages: 1 022	Re : test.php.txt est exécuté @seebz Exact, je viens de tester sur un 90plan, le problème est là, donc très grande faille, surtout si tu héberges par exemple un forum permettant d'uploader les fichiers images (gif, jpg etc...). Il faut rapidement en trouver une solution. Dernière modification par ktp 29/12/2008 à 09h47

29/12/2008, 09h43	#5
ktp Membre Date d'inscription: juin 2008 Messages: 1 022	Re : test.php.txt est exécuté Wow ! Solution trouvée : ajouter cette ligne dans le .htaccess : --- ligne supprimée --- Sans doute à avertir les autres utilisateurs du mutualisé du problème. Edit: oops, mauvaise solution, car maintenant les php ne sont plus exécutés. A priori problème de mime et de handler, à regarder de plus près. Dernière modification par ktp 29/12/2008 à 09h55

29/12/2008, 10h28	#6
ktp Membre Date d'inscription: juin 2008 Messages: 1 022	Re : test.php.txt est exécuté @Michel74 On ne cherche pas à bloquer, on veut simplement que le serveur réagisse correctement selon l'extension du fichier. C'est une très grosse faille là. Par exemple sur un forum on autorise le plus souvent l'upload des images (type gif, jpg etc... pour illustrer un post ou comme attachement). Si un hacker uploade un fichier de nom cxxx.php.jpg, l'upload sera accepté, mais alors le fameux shell cxxx (programme php) sera exécuté juste en invoquant l'URL (ce qui revient à dire que n'importe qui peut uploader tous les programmes php qu'il veut). C'est une faille classique des forums. Ceci est similaire au monde Windows où certains virus se présentent sous forme de fichier de nom readme.txt.exe. Comme Windows (explorer) par défaut masque les extensions connues, le fichier se présente dans la liste comme readme.txt (sans extension .exe), l'utilisateur ignorant va cliquer sur le fichier pour voir le fichier texte et alors il a exécuté l'exécutable (virus) readme.txt.exe ! Il faut donc que le serveur (via type MIME ?) agisse correctement selon l'extension du fichier. Un cxxx.php.txt est du texte, et ne doit pas être exécuté (même si son contenu est du php). Idem pour cxx.php.jpg etc... Tout ceci est normal et doit être comme cela aussi déjà sur les serveurs dédiés. Dernière modification par ktp 29/12/2008 à 10h37

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email