[FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo
Paulo Henrique
paulo.rddck em bsd.com.br
Segunda Abril 6 14:04:25 BRT 2009
Welkson Renny de Medeiros escreveu:
> Senhores,
>
> Não sei se já perceberam isso... para acessar a página de configuração
> do pfsense o mesmo pede senha... mas se tentar acessar diretamente a
> página do phpsysinfo ou lightsquid a senha não é solicitada.
>
> Ao meu ver, uma grave falha de segurança.. já que expõe bastante
> informação sobre o servidor e o acesso a site dos clientes.
>
> Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei
> na stable 1.2.
>
> Acho que um .htaccess talvez resolva o problema... se bem que no
> lighthttpd não sei se pode usar htaccess =)
>
>
Estive vendo isso no começo do ano porém o que fiz é permitir que apenas
a rede interna acesse tal conteudo, embora fica exposto para a rede
interna, quem de fato poderia se beneficiar desses dados que é o acesso
externo está bloqueado.
eu no caso boquiei a porta 8080 do pfsense para a wan.
Alguma sugestão seria interessante..
Mais detalhes sobre a lista de discussão freebsd