Urgente - Scriptcase 4.x e 5.x não apaga o conteúdo do pasta /tmp e deixa dados

Bugs
#1

Netmake,
Por favor avisem seus clientes por e-mail sobre este bug.
Esta deixando documentos expostos na internet até de órgãos governamentais como: [EDITADO]
Notei que isto ocorre na versão 4 e 5 do scriptcase. Na versão 6 a limpeza do tmp ocorre normal.
Segue abaixo e-mail que enviei a todos do meu provedor de serviço.
Envio cópia para bugs@netmake.com.br
Obrigado

Bom dia,
Atenção usuários do Scriptcase 4 e 5 que possuem aplicações hospedadas conosco.
Há um bug no scriptcase nestas versões que mesmo marcando o tempo de vida dos arquivos na configuração do ambiente de produção eles não são excluídos do tmp.
Isto gera dois problemas:

  1. Seu espaço em disco começa a ficar cheio. Ex: detectamos um usuário que já tem 9Gb ocupados somente com arquivos temporários. Assim que este usuário atingir sua cota não poderá mais receber e-mails, gravar dados nas suas databases e etc
  2. Documentos privados ficam disponíveis na internet para acesso público. [EDITADO]
    Se vocês digitarem na barra de endereço do seus navegadores os links:
    [EDITADO]

Poderão ver que várias pessoas estão com este problema e nem sabem.
Peço que agendem uma tarefa de exclusão dos temporários urgente ou que façam a limpeza manual todo dia.
Não nos responsabilizamos por conteúdo sigiloso que venha a cair em mãos de terceiros por esta via de acesso do tmp.
Obrigado

Editado por Bernhard: Editei algumas informações, como link de terceiros, para que isso não possa trazer problemas para você, nem para nós.

#2

Apesar de estar com a V6. fiz um teste no meu servidor aqui e deu;

403 - Proibido: acesso negado.
Você não tem permissão para exibir esse diretório ou página usando as credenciais fornecidas.

#3

Jean, Há servidores que não permitem a listagem de diretórios. Nestes servidores não aparecem mesmo. E o SC está mais seguro.
No meu eu não permito a listam de diretórios por padrão.
Mas há muitos ambientes mau configurados que estão expostos a esta situação.
Ou os próprios desenvolvedores mudam a listagem de pastas na raiz da hospedagem pelo .htaccess de forma que tudo fique exposto sem saber o perigo que isto representa.
Por isto coloquei o aviso aqui.
Em alguns lugares que verifiquei na internet tinha até pdf´s de permissão de entrada em locais.
Nestes pdf´s constava todas as informações de quem podia entrar como cpf, rg.
Em outros vi movimentação bancária e etc
Um prato cheio para bandidagem.
Nos servidores que não permitem listagem a dificuldade seria o /tmp comendo seu espaço em disco. Como meu cliente que contratou 30Gb e já tem 9gb ocupados pelo tmp. Quando a cota estourar e ele não puder fazer mais nada até descobrir que é no tmp? Já pensou?

#4

EU VÍ UNS DOC AQUI… pqp… muita coisa confidencial exposta…

#5

Boa noite,

Muito obrigado pelo feedback neste problema.

Minha opnião desse caso é que apesar de ser uma aparente vulnerabilidade do SC, acredito que o problema é também, uma responsabilidade de quem está gerenciando o ambiente web. Quais permissões que os usuários tem neste servidor (como exemplo listar os arquivos), quais pastas e páginas os usuários ter acesso.

No mais, reforcei a existência do problema com nossa equipe de bugs, explicando a urgência do caso, e assim que obtiver uma atualização deles, trarei para vocês.

att,
Bernhard Bernsmann

#6

Você pode usar rewriterule, com a flag de usuário não autorizado para negar acesso a essas pastas.

Agora quanto ao espaço é uma situação realmente ruim, espero que se resolva.

#7

Para desabilitar a listagem de determinado diretório é so colocar no apache o -Indexes
Exemplo
<directory /seudiretorio/>


Options -Indexes … … …