Dangers des exemples laissés sur les applications en production
Date : 06 Juillet 2005
Ce mois-ci encore des vulnérabilités ont illustré une nouvelle fois les dangers des fichiers d'exemples (pages web, ou programmes types fournis par le constructeur avec le produit ) laissés sur des applications en production. En voici 2 exemples :
- Suite Netware :
La suite Netware de Novell fournit par défaut un serveur web avec quelques exemples montrant ses possibilités. Un de ces exemples fournis (viewcode.jse) permet en fait à un utilisateur local de visualiser n'importe quel fichier situé sur le système.
Archive de SecurityFocus : http://www.securityfocus.com/bid/3436
- Serveur web Sambar
Sambar est un serveur web pour les environnements Unix et Windows. Il est fourni par défaut avec plusieurs exemples, dont un CGI (testcgi.exe) présentant une vulnérabilité. Lorsque ce CGI est appelé avec des paramètres spécifiques, il permet en effet de créer un déni de service du serveur web.
Archive de SecurityFocus : http://www.securityfocus.com/bid/3885
Dans les deux cas, le fait de supprimer les exemples impactés supprime les vulnérabilités.
De façon plus générale, il est indispensable lors de l'installation d'une application (par exemple un serveur Web) dans un environnement de production, de supprimer systèmatiquement tous les "exemples" fournis par défaut avec le produit.