[FUG-BR] pfSense - acesso sem senha ao lightsquid e phpsysinfo

Augusto Ferronato augusto.ferronato em gmail.com
Segunda Abril 6 14:18:56 BRT 2009 

Abre um bug lá no projeto, vai ver eles podem resolver

http://cvstrac.pfsense.org/tktnew

Abs[]

2009/4/6 Welkson Renny de Medeiros <welkson em focusautomacao.com.br>:
> Paulo Henrique escreveu:
>> Welkson Renny de Medeiros escreveu:
>>
>>> Senhores,
>>>
>>> Não sei se já perceberam isso... para acessar a página de configuração
>>> do pfsense o mesmo pede senha... mas se tentar acessar diretamente a
>>> página do phpsysinfo ou lightsquid a senha não é solicitada.
>>>
>>> Ao meu ver, uma grave falha de segurança.. já que expõe bastante
>>> informação sobre o servidor e o acesso a site dos clientes.
>>>
>>> Já perceberam esse detalhe? na versão beta também ocorre isso? eu testei
>>> na stable 1.2.
>>>
>>> Acho que um .htaccess talvez resolva o problema... se bem que no
>>> lighthttpd não sei se pode usar htaccess =)
>>>
>>>
>>>
>> Estive vendo isso no começo do ano porém o que fiz é permitir que apenas
>> a rede interna acesse tal conteudo, embora fica exposto para a rede
>> interna, quem de fato poderia se beneficiar desses dados que é o acesso
>> externo está bloqueado.
>> eu no caso boquiei a porta 8080 do pfsense para a wan.
>> Alguma sugestão seria interessante..
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>>
>>
> Dei uma olhada no conf do lighthttpd, ao meu ver o mod_auth vem
> desativado por padrão... fiz um teste com htaccess/htpasswd e não
> funcionou (http://redmine.lighttpd.net/projects/lighttpd/wiki/Docs:ModAuth)
>
> O http já vem desativado na wan por default, mas geralmente eu habilito,
> facilita para ver algumas broncas (claro que troca a senha default, e
> altero para HTTPS).
>
> Habilitar o mod_auth no conf do lighthttpd provavelmente não vai
> resolver, já que o pfsense ler o XML e grava tudo em tempo de execução.
>
> Bem complicado mesmo =)
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson em focusautomacao.com.br
>
>
>
>                      Powered by ....
>
>                                           (__)
>                                        \\\'',)
>                                          \/  \ ^
>                                          .\._/_)
>
>                                      www.FreeBSD.org
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
------------------------------
http://www.augustoferronato.net/blog

FreeBSD: The Freedom to Perform!
http://www.spreadbsd.org/aff/40/1

Mais detalhes sobre a lista de discussão freebsd