37 shaares
Au détour d'un chouette article présentant des failles identifiées sur Pagurz, le système de gestion des compilations de paquets pour Fedora, Thomas Chauchefoin constate :
We could also be overriding Python files of the application. It worked locally on a Pagure deployed from source, but when validating the finding on the staging instance, we noticed that this idea and a few other ones simply didn’t work! The instance must have been deployed from the Fedora RPM packages where application files are owned by root.
Moralité: quand on déploie une application, il faut s'assurer si possible que lors de son exécution elle n'ait pas les privilèges nécessaires pour modifier son code source ou même sa propre configuration.