search

dnum-mi / basegun

Web app for identifying a firearm based on a picture
https://basegun.interieur.gouv.fr/
Eclipse Public License 2.0
13 stars 0 forks source link

CONF09_Valeur umask insuffisante #411

Open ClemGerard opened 3 months ago

ClemGerard commented 3 months ago

<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns="http://www.w3.org/TR/REC-html40">

Priorité de mise en œuvre | Complexité de mise en œuvre -- | -- LONG TERME | SIMPLE

Constat

La configuration des valeurs umask est perfectible pour le compte root et pour les utilisateurs de bas privilèges. Un fichier nouvellement crée sera accessible en lecture à tous par défaut.

Risque

Un attaquant pourrait collecter des informations sensibles (mots de passe, fichiers de configuration…) ayant été écrites par un autre utilisateur (notamment, root) en cas d'accès illégitime ou d'exploitation d'une faille de sécurité permettant la lecture arbitraire de fichiers sur le serveur.

Tasks