3rd party apps en 6.0 Beta 2

[redneck eyeball]

Net 6.2 er op gezet, maar mijn 3rd party apps zijn er niet zo blij mee.
Config File Editor : 500 Internal Server Error
Web console : 403 Forbidden

Suggesties zijn welkom ! Ik zal wel niet de enige zijn met dit probleem.

[Birdy]

Heb je deze instructies wel opgevolgd ?

Some third-party packages may not be compatible with DSM 6.0 Beta 2; hence disabling the packages before upgrading to DSM 6.0 Beta 2 is necessary.

[redneck eyeball]

Helaas 

[redneck eyeball]

Pakket uninstall/reinstall gedaan.
Config file editor zegt : Please login as admin first, before using this webpage
Bizar, want ik ben als admin ingelogd.
Heeft vast iets met rechten te maken, maar ik weet niet goed waar ik moet beginnen zoeken.

[redneck eyeball]

Voor de config file editor was er in 2013 al een soortgelijk probleem.
Uitzetten van de 'cross site scripting' was toen de oplossing, maar dat helpt nu ook niet.

Verder onderzoek toont nog een andere oplossing.

http://www.nas-forum.com/forum/topic/35404-utilisation-config-file-editor/#entry1319193744

Daar zeggen ze dat je in deze drie bestanden dit moet uitcommenten
    getfile.cgi
    index.cgi
    writefile.cgi

Code: [Selecteer]

if ($user ne 'admin') {
    #print "<HTML><HEAD><TITLE>Login Required</TITLE></HEAD><BODY>Please login as admin first, before using this webpage</BODY></HTML>n";
    #die;
}

Ik heb het nog niet kunnen testen.

[redneck eyeball]

Deze aanpassingen zorgen er voor dat CFE weer opstart.
Net getest

[Briolet]

Ik had de CFE nog nooit gebruikt, maar vandaag toch maar eens geprobeerd.

Ik krijg echter het scherm:



Hij roept blijkbaar een niet bestaande pagina op. Als ik dan in het errorlog van de pagina kijk (Safari), dan zie ik 4 errors. DE laatste 2 lijken me een bug in DSM zelf. De eerste 2 zijn duidelijk gerelateerd aan CFE:



Heeft dit te maken met een recente DSM update? Werkt het bij anderen wel met DSM 6.2-23739 Update 2 ?

En ik vond dat het admin account er hardcoded in zit, zoals hierboven vermeld wordt. 

[Birdy]

Even getest op DSM 6.2, werkt bij mij out-of-the-box.

[Briolet]

Dan is het toch iets anders bij me. Ik zal eens verder zoeken.

Overigens lijkt me bovenstaande verwijdering van de admin check ook gevaarlijk. Dan komt iedereen op die pagina met de url:

https://mijndomein.nl/webman/3rdparty/CFE/index.cgi

Ik vraag me zelfs af of een ervaren iemand die "admin" naam niet gewoon in de webpagina kan injecteren. En dus ook zo bij al die files kan komen. (In elk geval om te lezen)

[Briolet]

@Birdy, aangemoedigd door jouw bewering dat het onder 6.2 toch werkt, heb ik het pakket verwijderd en opnieuw geïnstalleerd. Nu werkt het wel.

Als ik echter kijk hoe het in elkaar zit, heb ik er weinig vertrouwen in. Het programma draait volledig in de web omgeving en kan toch root taken uitvoeren.

Als test heb eens eens via een user account ingelogd. De enige bescherming is de test of de inlogger de naam 'admin' heeft. Maar dit is een naam die in het geheugen van de browser staat en is met een ontwikkelaatstool aan te passen naar admin.

De user had geen rechten op de config editor, dus zag ik hem niet staan, maar met de link in de post hierboven, kon ik de tool toch oproepen en alle config files opvragen. Toen dacht ik nog dat ik dan vast geen files kon opslaan. Voor de grap een entry toegevoegd aan de hosts file. (nasvanmij)



De save button deed gek, dus dacht is dat er niets opgeslagen was. Maar toen ik de editor via het admin account opstartte, zag ik de toevoeging nog steeds.

Met andere woorden: Dit is toch geen tool die je op je nas wilt hebben staan. 

Ik heb alleen gesmokkeld met de test op admin. Als je die weg haalt werkt het in elk geval. Ik ben alleen niet zo thuis met de ontwikkelaars tool van Safari om ook die inlognaam naar admin te veranderen. Maar dit moet zeker kunnen omdat die actuele inlognaam in het browser geheugen staat.

[Ben(V)]

Het is ook al een heel oude tool die nog gemaakt is voor DSM 3 en wordt door de maker ook al heel lang niet meer ondersteund.

Het is echter wel een behoorlijk handige tool om snel even dingen in config files te veranderen.
Overigens is het eigenlijk helemaal niet geschikt voor gebruikers die geen idee hebben wat ze allemaal kunnen verprutsen in die config files.

Ik was een tijdje terug al eens aan het kijken geweest of ik niet iets soortgelijks kon maken in Python en dan natuurlijk wel met de juiste beveiligingen.
Misschien moet ik dat projectje maar weer eens oppakken.

[Briolet]

Ik merk dat het pakket stoppen ook niet goed werkt. Het programma wordt daarbij niet uit het hoofdmenu gehaald. Ook de symlink in webman blijft staan bij stoppen.

Het klopt dat het een oudje is en alleen voor het gemak gemaakt is, niet voor de veiligheid. Het is wel aan te raden om dit pakket weer te verwijderen als je klaar bent. Alleen stoppen is niet genoeg.