Ecrire une réponse

Maman apprend le francais à l'heure actuelle
Mais c'est pas pour autant qu'elle finira sur ce forum !

Oui je comprends en effet... alors excuse moi... Pour m'auto-chatier, je promets de faire moulte pub pour Epsylon ( merde j'le fais déja ça! ) et je mettrai une bannière ou comme ça qui vous rende service... ( dés que ce sera dispo... Je te pardonne cyber-papa-epsylonien... Mais au fait ou es Maman ?!

Considère moi comme un père qui éduque ses jeunes enfants

Tu ne comprends pas qu'annoncer une soit disante faille de sécurité peut nous porter préjudice ?
C'est le fait d'annoncer ouvertement une faille qui n'en est pas une et qui plus est -publiquement- qui me pose problème, c'est pas très respectueux vis à vis des personnes qui ont fait en sorte qu'Epsylon ne soit jamais tombé à cause de problèmes de sécurité depuis le début (on touche du bois..

Après il est vrai que la diplomatie ca a jamais été mon fort, pardonne moi
Je sais bien que c'est parti d'une bonne intention mais maintenant je suis à peu près sûr que tu ne recommenceras pas.

Ah et je vais rajouter une question  "Comment signaler une faille de sécurité ", dans la FAQ grâce à toi Merci encore, bonne soirée

Non ba la prochaine fois jze dirais rien je ferai une saloperie et puis vous vous poserez des questions! Non sérieux j'trouve ton attitude un peu narquoise...c'est pas sympa surtout que depuis que j'suis sur Epsylon, j'essai de faire mon possible pour vous aidez... M'enfin pas grave...

Comme il me semblait, cette alerte était un peu trop pompeuse pour être sérieuse...

RIPS a juste remarqué que vous avez la possibilité de naviguer sur le serveur... il en a donc déduit qu'il pouvait écrire dans les répertoires des membres dont le chmod était plus ou moins laxiste (777 par exemple )

root@ns1:/epsylon/toad# cd ~prezahorie/
root@ns1:/epsylon/prezahorie# mkdir tmp
root@ns1:/epsylon/prezahorie# chmod 777 ./tmp
root@ns1:/epsylon/prezahorie# sudo -u toaddy6 sh
toaddy6@ns1:/epsylon/prezahorie$ touch ./tmp/pfff
touch: cannot touch `./tmp/pfff': Permission denied

nota: toaddy6 et prezahorie sont 2 comptes epsylon

Et pour info concernant les répertoires normalement en 777:

root@ns1:/epsylon/prezahorie# ls -ld /var/tmp /tmp/
drwx----wt   32 root     root     27852800 Sep  2 14:23 /tmp//
drwx----wt    5 root     root         4096 Sep  2 14:23 /var/tmp/

Donc pas de détournement possible de sessions PHP ou autres méchancetés

Donc RIPS, la prochaine fois au lieu d'annoncer au monde une 'faille' sur Epsylon (ce qui me fait de la mauvaise pub et ce qui pourrait faire peur aux clients potentiels d'Epsylonia, donc en gros ce qui pourrait être 'vindicatif' au projet d'hébergement gratuit d'Epsylon), *prière* de me trouver, sur IRC ou par email et de partager tes découvertes

J'ai quand même bien envie d'organiser une hacking fest sur Epsylon, juste pour voir les problèmes éventuels de sécurité

Ah parce que t'as vu une FAQ quelque part toi ?

Désolé j'ai pas vu dans la F.A.Q : " Comment signaler une faille de sécurité " !!! Bon j'envoie le mail! signaler moi quand vous aurez une pub qui sert a quelque chose!

Bonjour RIPS.

Il n'y a pas de MP sur ce forum, ou alors j'en ai pas trouvé.
Tu peux éventuellement utiliser une de nos bannières que tu trouveras sur http://epsylon.org/ même si ca n'apportera pas grand chose à l'heure actuelle

Pour ce qui est du problème que tu aurais trouvé (une faille de sécurité à ce que tu en dis), je te laisse m'en faire part par email (postmaster@epsylon.org ou toad@epsylon.org). J'aurais aimé que tu commences par là plutot que de l'étaler sur le forum (et donc faire perdre du temps à tous les membres d'epsylon et moi même vu que la faille va devoir encore rester quelques temps.... le temps que tu envoies cet email).

Merci dans tous les cas de ton soutien qui semble très utile à notre communauté

Priere d'envoyer un mail a postmaster@epsylon.org definisant la faille.
Merci a toi