Anomalie #16809
ferméPossibilité de lister le contenu des répertoires web publics
Description
Malgré la directive Options -Indexes de l'hôte virtuel, il reste possible de lister le contenu des répertoires contenant des ressources statiques publiques,
typiquement dans le répertoire /web/public, par exemple https://maarchrm/public
Par extension, ceci permet de connaître la structure du répertoire et des plugins utilisés pour l'IHM ce qui constitue une vulnérabilité de type "Information Disclodure".
Analyse
La directive Options -Indexes fonctionne bien, mais la réécriture des URL outrepasse à cause du test d'existence des fichiers publiques:
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_URI} ^/public [NC]
Il semble que le second test soit problématique car il annule le premier ET la directive -Indexes en permettant localement
de servir les répertoires.
Il est par ailleurs inutile puisqu'on ne sert que des fichiers qui répondent déjà au premier test.
Mis à jour par Alexandre GOLDSTEIN il y a plus de 3 ans
- Statut changé de A traiter à R&D - En test
retrait de la ligne RewriteCond %{REQUEST_URI} ^/public [NC] sur Socle et AP sur la branche fix/16809_public_directory
Mis à jour par Jérôme BOUCHER il y a plus de 3 ans
- Statut changé de R&D - En test à A livrer
Testé ok socle et ap
Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Projet changé de 252 à Backlog RM
- Version cible changé de 2.8.0 à 2.8
- Tags RM 2.8.0 ajouté
Mis à jour par Emmanuel DILLARD il y a plus de 3 ans
- Statut changé de A livrer à R&D - Terminé