Besoin d'information sur le résultat d'un audit de sécurité

pipa85 · Octobre 21, 2022, 5:25am

Bonjour,
Je ne sais pas si c’est bien le bon endroit pour poser cette question mais comme j’ai vraiment besoin de cette information alors je tente comme même ma chance. Nous avons installé moodle sur debian 10. Une entreprise spécialisée dans la sécurité a analysé notre moodle afin de trouver des failles de sécurité. Parmi les failles trouvées, il y a une faille que je n’arrive pas à comprendre, j’espère que vous m’aideriez à la comprendre. Voici les informations concernant cette vulnérabilité (elles sont en anglais):
Le nom de la vulnérabilité est: Local filesystem
paths: Absolute filesystem path
Impacte de la vulnérabilité: This information is sensitive, as it may reveal things about the server environment to an attacker.
Knowing filesystem layout can increase the chances of success for blind attacks.
Exploitation: Get/
lib/javascript.php/ /media/player/videojs/videojs/video-js.swf
Remédiation: Remplacer le chemin répertoire absolu par un lien hypertext vers la ressource demandée.

Ce que j’ai compris c’est que certains fichiers sont accessibles par le navigateur par leur chemin absolu (exemple le fichier video-js.swf) mais ce que je n’ai pas compris c’est ce que je dois faire pour y remédier. Dois-je complétement interdire l’affichage de ces fichiers ou bien je ne sais pas quoi?

Avez-vous une idée?

Je vous remercie d’avance pour vos éclaircissements

Almtesh · Octobre 21, 2022, 5:28am

En fait, ce que dit ce rapport, c’est qu’il y a des informations accessibles qui permettent de déduire quelle système est utilisé, ce qui permet à un attaquant de savoir quelle failles exploiter pour attaquer ton système.
À moins que le système en question soit un pot de miel, il n’est pas conseillé de révéler ce genre d’informations.
Le conseil est d’utiliser un lien qui ne révèle pas le chemin absolu du fichier.

fran.b · Octobre 21, 2022, 12:44pm

Tu peux faire beaucoup de choses: Il semble que tu puisses faire une requete

http://tonsite.qque.part/lib/javascript.php/media/player/videojs/videojs/video-js.swf`

donc j’essaierais de faire :

http://tonsite.qque.part/lib/javascript.php/etc/password

(y’a-t-il un renvoi d’info?)

http://tonsite.qque.part/lib/javascript.php/var/log/apache2/access.log

(y’a-t-il un renvoi d’info?)

http://tonsite.qque.part/lib/javascript.php/groumf

(y’a-t-il un renvoi d’info signalant la non existence du fichier)

http://tonsite.qque.part/lib/javascript.php/php://filter/convert.base64-encode/resource=index.php ```

(peut-on récupérer ton index.php source)

…
Y’a de quoi faire même sii il y a peu de chances que ça marche.

Zargos · Octobre 21, 2022, 2:48pm

La vulnérabilité doit avoir une reference, genre CVE ou autre. Donne la nous c’est plus facile.
Ensuite, c’est qu’il est possible d’adresser directement ton filesystem à travers ton site web, alors que cela ne le devrait pas.

Get/ lib/javascript.php/ /media/player/videojs/videojs/video-js.swf

Ca signifie qu’avec le script lib/javascript.php/ on peut charger le fichier /media/player/videojs/videojs/video-js.swf

Dans un site web on ne met jamais un chemin d’accès absolu vers un fichier. Tout fichier qui est fourni par ton site web doit passer par une URL de ton site web, et avoir plutot, par exemple quelque chose comme:

Get/ lib/javascript.php/?fichier=video-js.swf

en gros ce qui a été détecté c’est ne faille de conception du code du site, ou de paramétrage.

Sputnik93 · Octobre 21, 2022, 2:57pm

Pas forcément, s’il s’agit d’une vulnérabilité issue d’une configuration appliquée par les administrateurs du serveur.
En l’occurrence, il s’agit probablement d’une configuration du serveur web.

@pipa85 quel est le serveur web déployé devant Moodle ? (apache, nginx, traefik, autre… ?)
Et peux-tu nous montrer le fichier de configuration du site ?

Il y a des sections dédiées à nginx et apache dans la documentation de Moodle, je n’ai pas regardé en détail ce qui y est dit.

pipa85 · Octobre 22, 2022, 4:04pm

Bonjour,
D’abord, je vous remercie tous pour vos réponses.
Almtesh justement comment ne pas révéler le chemin absolu d’un fichier?
fran.b Il n’y a pas de renvoi d’infos avec ces liens. Ce fichier est accessible par le lien:
https://monsite/media/player/videojs/videojs/video-js.swf
Zargos il n’y a pas de référence CVE juste un numéro (Vulnérabilité identifiée N° 2-002:).
Sputnik93 Moodle est installé sur Debian avec apache. Ci-dessous un exemple du fichier de configuration de moodle.
J’ai trouvé ce lien dans la documentation de Moodle ou ils montrent comment cacher les liens internes en copiant les lignes fournies dans le virtual host de moodle. Cependant, en faisant cela, on cache l’information mais pas le chemin absolu. La vulnérabilité détectée consiste à cacher le chemin absolu n’est-ce pas ?
Mais comment faire cela?

<?php  // Moodle configuration file 

unset($CFG);
global $CFG;
$CFG = new stdClass();

$CFG->dbtype    = 'mariadb';
$CFG->dblibrary = 'native';
$CFG->dbhost    = 'localhost';
$CFG->dbname    = 'mydb';
$CFG->dbuser    = 'mydbuser';
$CFG->dbpass    = 'mydbpassword';
$CFG->prefix    = 'mdl_';
$CFG->dboptions = array (
  'dbpersist' => 0,
  'dbport' => '',
  'dbsocket' => '',
);

$CFG->wwwroot   = 'https://monsite';
$CFG->dataroot  = '/var/mydata';
$CFG->admin     = 'admin';

$CFG->directorypermissions = 0777;

require_once(dirname(__FILE__) . '/lib/setup.php');

// There is no php closing tag in this file,
// it is intentional because it prevents trailing whitespace problems!
 $CFG->lock_factory = "\\core\\lock\\db_record_lock_factory";