On Tue, 05 Oct 2004 19:01:40 -0400, Denis Beauregard :
C'est pas le bug shell: déjà rapporté ?
Non. Le bug "shell:" était plus un bug de Windows. Là, il s'agit d'un bug présent sous Linux (et pas forcément sous Windows, d'ailleurs).
-- ;-)
Vincent Lefevre
Dans l'article , Denis Beauregard écrit:
Le Tue, 5 Oct 2004 22:10:53 +0000 (UTC), Vincent Lefevre <vincent+ écrivait dans fr.comp.infosystemes.www.navigateurs:
>https://bugzilla.mozilla.org/show_bug.cgi?id$6524 > >Si vous avez des commentaires... S'il s'agissait d'IE, je suis sûr >qu'on considérerait cela comme un trou de sécurité.
Dans l'article <0u96m0hbp9p4pg16ic4rf3gidbkepk2eil@4ax.com>,
Denis Beauregard <no@nospam.com.invalid> écrit:
Le Tue, 5 Oct 2004 22:10:53 +0000 (UTC), Vincent Lefevre
<vincent+news@vinc17.org> écrivait dans
fr.comp.infosystemes.www.navigateurs:
>https://bugzilla.mozilla.org/show_bug.cgi?id$6524
>
>Si vous avez des commentaires... S'il s'agissait d'IE, je suis sûr
>qu'on considérerait cela comme un trou de sécurité.
Le Tue, 5 Oct 2004 22:10:53 +0000 (UTC), Vincent Lefevre <vincent+ écrivait dans fr.comp.infosystemes.www.navigateurs:
>https://bugzilla.mozilla.org/show_bug.cgi?id$6524 > >Si vous avez des commentaires... S'il s'agissait d'IE, je suis sûr >qu'on considérerait cela comme un trou de sécurité.
Si vous avez des commentaires... S'il s'agissait d'IE, je suis sûr qu'on considérerait cela comme un trou de sécurité.
FWIW, ca ne marche pas non plus avec le script de demarrage de gentoo (qui est un truc fait maison utilisé pour tous les logiciels de mozilla.org)
-- mat ~ http://mat.virgule.info/
Denis Beauregard
Le Tue, 5 Oct 2004 23:29:35 +0000 (UTC), Vincent Lefevre <vincent+ écrivait dans fr.comp.infosystemes.www.navigateurs:
Dans l'article , Denis Beauregard écrit:
Le Tue, 5 Oct 2004 22:10:53 +0000 (UTC), Vincent Lefevre <vincent+ écrivait dans fr.comp.infosystemes.www.navigateurs:
>https://bugzilla.mozilla.org/show_bug.cgi?id$6524 > >Si vous avez des commentaires... S'il s'agissait d'IE, je suis sûr >qu'on considérerait cela comme un trou de sécurité.
C'est pas le bug shell: déjà rapporté ?
Non. Sous Unix/Linux, il n'y a pas de "shell:".
Soit.
Maintenant, est-ce que le bug fonctionne depuis une adresse dans Internet ? L'exemple que tu donnes n'est valide qu'au lancement sous des Linux autres que Debian. J'ai Debian sur mon portable et Windows 98 sur ce PC, donc je ne pourrais pas essayer.
Denis
Le Tue, 5 Oct 2004 23:29:35 +0000 (UTC), Vincent Lefevre
<vincent+news@vinc17.org> écrivait dans
fr.comp.infosystemes.www.navigateurs:
Dans l'article <0u96m0hbp9p4pg16ic4rf3gidbkepk2eil@4ax.com>,
Denis Beauregard <no@nospam.com.invalid> écrit:
Le Tue, 5 Oct 2004 22:10:53 +0000 (UTC), Vincent Lefevre
<vincent+news@vinc17.org> écrivait dans
fr.comp.infosystemes.www.navigateurs:
>https://bugzilla.mozilla.org/show_bug.cgi?id$6524
>
>Si vous avez des commentaires... S'il s'agissait d'IE, je suis sûr
>qu'on considérerait cela comme un trou de sécurité.
C'est pas le bug shell: déjà rapporté ?
Non. Sous Unix/Linux, il n'y a pas de "shell:".
Soit.
Maintenant, est-ce que le bug fonctionne depuis une adresse dans
Internet ? L'exemple que tu donnes n'est valide qu'au lancement
sous des Linux autres que Debian. J'ai Debian sur mon portable
et Windows 98 sur ce PC, donc je ne pourrais pas essayer.
Le Tue, 5 Oct 2004 23:29:35 +0000 (UTC), Vincent Lefevre <vincent+ écrivait dans fr.comp.infosystemes.www.navigateurs:
Dans l'article , Denis Beauregard écrit:
Le Tue, 5 Oct 2004 22:10:53 +0000 (UTC), Vincent Lefevre <vincent+ écrivait dans fr.comp.infosystemes.www.navigateurs:
>https://bugzilla.mozilla.org/show_bug.cgi?id$6524 > >Si vous avez des commentaires... S'il s'agissait d'IE, je suis sûr >qu'on considérerait cela comme un trou de sécurité.
C'est pas le bug shell: déjà rapporté ?
Non. Sous Unix/Linux, il n'y a pas de "shell:".
Soit.
Maintenant, est-ce que le bug fonctionne depuis une adresse dans Internet ? L'exemple que tu donnes n'est valide qu'au lancement sous des Linux autres que Debian. J'ai Debian sur mon portable et Windows 98 sur ce PC, donc je ne pourrais pas essayer.
Denis
Vincent Lefevre
Dans l'article , Denis Beauregard écrit:
Maintenant, est-ce que le bug fonctionne depuis une adresse dans Internet ?
C'est possible (il suffit que quelqu'un crée un feed RSS adéquat, par exemple). Dans mes tests, j'avais créé un feed RSS (accessible seulement localement, pour que je n'aille pas faire des dégâts ailleurs) avec une URL utilisant des ` pour tester la sécurité du lecteur RSS. Au début, je croyais que le code avait été exécuté par mon lecteur RSS, mais en remplaçant la commande mozilla par une commande écrivant les arguments dans un fichier, je me suis aperçu que le code n'était pas exécuté par le lecteur RSS et que l'URL était passée intacte au script mozilla. C'était donc mozilla qui avait exécuté le code.
Maintenant, je crois que Liferea (le lecteur RSS en question) transforme de manière préventive certains caractères en leur code d'échappement en hexadécimal. Mais il existe plein de lecteurs RSS (et peut-être d'autres choses, comme des lecteurs de mail et de news externes) pour lesquels le problème peut aussi se produire.
Dans l'article <bfj6m0pugifkuugll47ro7orcegutj89rf@4ax.com>,
Denis Beauregard <no@nospam.com.invalid> écrit:
Maintenant, est-ce que le bug fonctionne depuis une adresse dans
Internet ?
C'est possible (il suffit que quelqu'un crée un feed RSS adéquat,
par exemple). Dans mes tests, j'avais créé un feed RSS (accessible
seulement localement, pour que je n'aille pas faire des dégâts
ailleurs) avec une URL utilisant des ` pour tester la sécurité du
lecteur RSS. Au début, je croyais que le code avait été exécuté
par mon lecteur RSS, mais en remplaçant la commande mozilla par
une commande écrivant les arguments dans un fichier, je me suis
aperçu que le code n'était pas exécuté par le lecteur RSS et que
l'URL était passée intacte au script mozilla. C'était donc mozilla
qui avait exécuté le code.
Maintenant, je crois que Liferea (le lecteur RSS en question)
transforme de manière préventive certains caractères en leur code
d'échappement en hexadécimal. Mais il existe plein de lecteurs RSS
(et peut-être d'autres choses, comme des lecteurs de mail et de
news externes) pour lesquels le problème peut aussi se produire.
Maintenant, est-ce que le bug fonctionne depuis une adresse dans Internet ?
C'est possible (il suffit que quelqu'un crée un feed RSS adéquat, par exemple). Dans mes tests, j'avais créé un feed RSS (accessible seulement localement, pour que je n'aille pas faire des dégâts ailleurs) avec une URL utilisant des ` pour tester la sécurité du lecteur RSS. Au début, je croyais que le code avait été exécuté par mon lecteur RSS, mais en remplaçant la commande mozilla par une commande écrivant les arguments dans un fichier, je me suis aperçu que le code n'était pas exécuté par le lecteur RSS et que l'URL était passée intacte au script mozilla. C'était donc mozilla qui avait exécuté le code.
Maintenant, je crois que Liferea (le lecteur RSS en question) transforme de manière préventive certains caractères en leur code d'échappement en hexadécimal. Mais il existe plein de lecteurs RSS (et peut-être d'autres choses, comme des lecteurs de mail et de news externes) pour lesquels le problème peut aussi se produire.
Dans l'article <20041006054344$, Vincent Lefevre <vincent+ écrit:
C'est possible (il suffit que quelqu'un crée un feed RSS adéquat, par exemple). Dans mes tests, j'avais créé un feed RSS (accessible seulement localement, pour que je n'aille pas faire des dégâts ailleurs) avec une URL utilisant des ` pour tester la sécurité du lecteur RSS. Au début, je croyais que le code avait été exécuté par mon lecteur RSS, mais en remplaçant la commande mozilla par une commande écrivant les arguments dans un fichier, je me suis aperçu que le code n'était pas exécuté par le lecteur RSS et que l'URL était passée intacte au script mozilla. C'était donc mozilla qui avait exécuté le code.
Pour ceux qui veulent tester:
http://www.vinc17.org/rss/blog.fr.rss
Cf le billet
Mozilla et sécurité: ouverture d'URL par application externe
Certains lecteurs RSS encodent les espaces en %20 avant passage de l'URL au navigateur. Mais il n'est pas sûr qu'on ne puisse pas faire de dégâts. Je ne sais pas si halt, shutdown ou reboot peut fonctionner. La commande dmesg donne des infos sur le système (ça peut être problématique pour certains). On peut aussi citer id, ou des commandes pouvant lancer un serveur sans être root. Et il peut toujours y avoir possibilité de contourner l'encodage des espaces.
Dans l'article <20041006054344$1ad5@vinc17.org>,
Vincent Lefevre <vincent+news@vinc17.org> écrit:
C'est possible (il suffit que quelqu'un crée un feed RSS adéquat,
par exemple). Dans mes tests, j'avais créé un feed RSS (accessible
seulement localement, pour que je n'aille pas faire des dégâts
ailleurs) avec une URL utilisant des ` pour tester la sécurité du
lecteur RSS. Au début, je croyais que le code avait été exécuté
par mon lecteur RSS, mais en remplaçant la commande mozilla par
une commande écrivant les arguments dans un fichier, je me suis
aperçu que le code n'était pas exécuté par le lecteur RSS et que
l'URL était passée intacte au script mozilla. C'était donc mozilla
qui avait exécuté le code.
Pour ceux qui veulent tester:
http://www.vinc17.org/rss/blog.fr.rss
Cf le billet
Mozilla et sécurité: ouverture d'URL par application externe
Certains lecteurs RSS encodent les espaces en %20 avant passage
de l'URL au navigateur. Mais il n'est pas sûr qu'on ne puisse pas
faire de dégâts. Je ne sais pas si halt, shutdown ou reboot peut
fonctionner. La commande dmesg donne des infos sur le système (ça
peut être problématique pour certains). On peut aussi citer id,
ou des commandes pouvant lancer un serveur sans être root. Et il
peut toujours y avoir possibilité de contourner l'encodage des
espaces.
Dans l'article <20041006054344$, Vincent Lefevre <vincent+ écrit:
C'est possible (il suffit que quelqu'un crée un feed RSS adéquat, par exemple). Dans mes tests, j'avais créé un feed RSS (accessible seulement localement, pour que je n'aille pas faire des dégâts ailleurs) avec une URL utilisant des ` pour tester la sécurité du lecteur RSS. Au début, je croyais que le code avait été exécuté par mon lecteur RSS, mais en remplaçant la commande mozilla par une commande écrivant les arguments dans un fichier, je me suis aperçu que le code n'était pas exécuté par le lecteur RSS et que l'URL était passée intacte au script mozilla. C'était donc mozilla qui avait exécuté le code.
Pour ceux qui veulent tester:
http://www.vinc17.org/rss/blog.fr.rss
Cf le billet
Mozilla et sécurité: ouverture d'URL par application externe
Certains lecteurs RSS encodent les espaces en %20 avant passage de l'URL au navigateur. Mais il n'est pas sûr qu'on ne puisse pas faire de dégâts. Je ne sais pas si halt, shutdown ou reboot peut fonctionner. La commande dmesg donne des infos sur le système (ça peut être problématique pour certains). On peut aussi citer id, ou des commandes pouvant lancer un serveur sans être root. Et il peut toujours y avoir possibilité de contourner l'encodage des espaces.
