bonjour,  
 
j ai une grosse faille de secu sur mon serveur web.
les utilisateurs peuvent faire des includes PHP des fichier de conf des autres.
 
rien de grave me direz vous ... il suffit d activer le safe_mode dans le php.ini
 
seulement voila, c est deja le cas et pourtant les includes sont toujours possibles.
 
quand je fais un phpinfo je vois bien la variable safe_mode a "On"
le safe_mode_gid est bien a "off" etant donne que les utilisateurs se trouvent tous dans le meme groupe, c est plutot conseille.
 
bref, je ne sais pas ce qui fait que apache ou php ne tienne pas compte de cette variable mais ca m inquiete.
 
y a t il un moyen de faire fonctionner ca correctement ?
 
d'avance merci.

quand tu a modifier ton fichier de conf , tu as bien redemarré apache j'espere

en fait php c'est pire que l'activeX de windows non ?

oui oui bien sur ...
j ai fait des restart des stop && start .. des reload ... etc
 
j ai verifie que le fichier php.ini etait bien le bon.
que les autres modifs dans celui ci etaient bien prises en compte.
 
mais comme je disais quand je fait un phpinfo ( un truc qui liste toutes les variables de php/apache ) j ai bien le safe_mode a On
 
seulement voila il n est pas reelement effectif :-/
 
pourquoi ?

comme te dis Jowile, le mode safe de php est limite un leur
 
j exagere mais bon
 
la solution n est pas ds le safe mode, fo patcher ou modifier les src

ce qui m embete c est qu avant ca marchait tres bien ...  
c est en fait depuis que j ai reinstalle mon serveur que ca a fait ca :-/
 
y a des patchs pour ca ?
 
edit : parceque franchement un serveur mutualise avec le safe_mode
 qui n est pas pris en compte ca craint  

bah ca depend c koi ton truc en php ?

je fais de l'hebergement .... alors forcement vous comprendrez pourquoi ca commence a me gaver ces histoires de safe_mode pas pris en compte.
 
le code php je m en fou, c est pas le mien.
 
je veux juste betonner le apache/php que les users ne puissent pas se chourrer les mots de passe mysql et autre.

bah justement le pb vient du code, pas de apache

 
on est d accord seulement je ne vais pas m amuser a eplucher le code de chaque site pour verifier qu il ne fait pas des includes a la sauvage :-/
 
surtout que le but c est aussi d empecher un utilisateur de pomper le code / les mots de passe d un autre.
 
  je suis dans la merde la

bah je sais pas mais bon c est pa ston pb si le gars sait pas coder son site aussi
 
si les hebergeurs etaient responsable de chaque site, ils auraient pas fini

ki verifie koi ??
 
car les src sont pas a lui donc il est pas sense savoir ce k il y a dedans

non ce qui m embete c est pas le type qui code mal.
 
c'est plus le type qui volontairement a mis une page ou un bidule en php pour aller fouiller dans les comptes des autres.
 
un phpmyexplorer est si vite uploade
 
et alors apres il peut aller dans n importe quel compte comme il veux ... sans parler des fichiers systemes ( meme si tout ce qui est critique a des droits severe )
 
je ne peux pas vraiment verifier/surveiller leur code parceque ca voudrait dire parser tres regulierement tous les comptes ( car l upload + manip + effcacement des traces peut se faire en 1 quart d'heure meme pas )
et ca n est donc pas possible
 
je pense qu a part avec un safe_mode de php fonctionnel il n y a pas grand chose qui resoudra ce probleme.
( a moin que qqun ai une idee de genie )
 

a la base oui je suis root sur la becane ... mais je ne suis pas la pour surveiller les gens ( j'ai surtout pas que ca a faire lol )
 
et je suis plutot contre le flicage a tout prix 9enfin bon la je m egare )
 
pour en revenir a mon probleme, j'ai reussit a activer ( et a faire fonctionner !!! ) le safe_mode.
 
j'ai simplement compile la version 4.3.3 de php pour remplacer la 4.3.2
et depuis ca tourne niquel.
voila pour l info si ca arrive aussi a qqun d autre.