Anomalie #16809
Possibilité de lister le contenu des répertoires web publics
Description
Malgré la directive Options -Indexes de l'hôte virtuel, il reste possible de lister le contenu des répertoires contenant des ressources statiques publiques,
typiquement dans le répertoire /web/public, par exemple https://maarchrm/public
Par extension, ceci permet de connaître la structure du répertoire et des plugins utilisés pour l'IHM ce qui constitue une vulnérabilité de type "Information Disclodure".
Analyse
La directive Options -Indexes fonctionne bien, mais la réécriture des URL outrepasse à cause du test d'existence des fichiers publiques:
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} -f [OR] RewriteCond %{REQUEST_URI} ^/public [NC]
Il semble que le second test soit problématique car il annule le premier ET la directive -Indexes en permettant localement
de servir les répertoires.
Il est par ailleurs inutile puisqu'on ne sert que des fichiers qui répondent déjà au premier test.
Historique
#1 Mis à jour par Alexandre GOLDSTEIN il y a presque 3 ans
- Statut changé de A traiter à R&D - En test
retrait de la ligne RewriteCond %{REQUEST_URI} /public [NC] sur Socle et AP sur la branche fix/16809_public_directory
#2 Mis à jour par Arnaud PAUGET il y a presque 3 ans
- Version cible changé de 2.8 à 2.8.0
#3 Mis à jour par Jérôme BOUCHER il y a presque 3 ans
- Statut changé de R&D - En test à A livrer
Testé ok socle et ap
#4 Mis à jour par Emmanuel DILLARD il y a presque 3 ans
- Projet changé de Maarch RM - Product Backlog à Backlog RM
- Version cible changé de 2.8.0 à 2.8
- Tags RM 2.8.0 ajouté
#5 Mis à jour par Emmanuel DILLARD il y a presque 3 ans
- Assigné à mis à Arnaud PAUGET
#6 Mis à jour par Emmanuel DILLARD il y a plus de 2 ans
- Statut changé de A livrer à R&D - Terminé