[FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Segunda Abril 6 15:04:34 BRT 2009 

Augusto Ferronato escreveu:
> Abre um bug lá no projeto, vai ver eles podem resolver
>
> http://cvstrac.pfsense.org/tktnew
>
> Abs[]
>
> 2009/4/6 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:
>   
>> Paulo Henrique escreveu:
>>     
>>> Welkson Renny de Medeiros escreveu:
>>>
>>>       
>>>> Senhores,
>>>>
>>>> Não sei se já perceberam isso... para acessar a página de configuração
>>>> do pfsense o mesmo pede senha... mas se tentar acessar diretamente a
>>>> página do phpsysinfo ou lightsquid a senha não é solicitada.
>>>>
>>>> Ao meu ver, uma grave falha de segurança.. já que expõe bastante
>>>> informação sobre o servidor e o acesso a site dos clientes.
>>>>
>>>> Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei
>>>> na stable 1.2.
>>>>
>>>> Acho que um .htaccess talvez resolva o problema... se bem que no
>>>> lighthttpd não sei se pode usar htaccess =)
>>>>
>>>>
>>>>
>>>>         
>>> Estive vendo isso no começo do ano porém o que fiz é permitir que apenas
>>> a rede interna acesse tal conteudo, embora fica exposto para a rede
>>> interna, quem de fato poderia se beneficiar desses dados que é o acesso
>>> externo está bloqueado.
>>> eu no caso boquiei a porta 8080 do pfsense para a wan.
>>> Alguma sugestão seria interessante..
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>>
>>>
>>>       
>> Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem
>> desativado por padrão... fiz um teste com htaccess/htpasswd e não
>> funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth)
>>
>> O http já vem desativado na wan por default, mas geralmente eu habilito,
>> facilita para ver algumas broncas (claro que troca a senha default, e
>> altero para HTTPS).
>>
>> Habilitar o mod_auth no conf do lighthttpd provavelmente não vai
>> resolver, já que o pfsense ler o XML e grava tudo em tempo de execução.
>>
>> Bem complicado mesmo =)
>>
>> --
>> Welkson Renny de Medeiros
>> Focus Automação Comercial
>> Desenvolvimento / Gerência de Redes
>> welkson em focusautomacao.com.br
>>
>>
>>
>>                      Powered by ....
>>
>>                                           (__)
>>                                        \\\'',)
>>                                          \/  \ ^
>>                                          .\._/_)
>>
>>                                      www.FreeBSD.org
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>     
>
>
>
>   
Acabei de fazer... criei o ticket, o sistema não avisou nada.. fiz 
novamente... não avisou nada... quando fui olhar no histórico o sistema 
criou dois tickets... =)

-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br
 
 
 
                      Powered by ....
 
                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)
 
                                      www.FreeBSD.org

Mais detalhes sobre a lista de discussão freebsd