Möglicher Bug im Webinterface beim Aufruf von /pve-docs

C

Choppel

Member
Proxmox Subscriber
Feb 3, 2020
10
0
21
Wenn ich mich am PVE Webinterface nicht anmelde, kann ich trotzdem die Dokumentation unter z.B. https://1.2.3.4:8006/pve-docs/index.html aufrufen. Dies wäre an sich nicht wild, es ist ja die offizielle Dokumentation. Aber es wird oben die Versionsnummer meiner PVE Installation angezeigt und das ist u.U. nicht gut, da es Angreifern erleichtert, mögliche Schwachstellen meines Systems auszunutzen.
Am besten sollte die Dokumentation nur erreichbar sein, wenn man angemeldet ist.
 
Choppel said:
Wenn ich mich am PVE Webinterface nicht anmelde, kann ich trotzdem die Dokumentation unter z.B. https://1.2.3.4:8006/pve-docs/index.html aufrufen. Dies wäre an sich nicht wild, es ist ja die offizielle Dokumentation. Aber es wird oben die Versionsnummer meiner PVE Installation angezeigt
Click to expand...
Die Doku zeigt die Version der Doku an, was ja eigentlich richtig ist.
Choppel said:
und das ist u.U. nicht gut, da es Angreifern erleichtert, mögliche Schwachstellen meines Systems auszunutzen.
Click to expand...
Deshalb am besten immer zeitnah patchen.
Choppel said:
Am besten sollte die Dokumentation nur erreichbar sein, wenn man angemeldet ist.
Click to expand...
Vermutlich die einfachste Option
 
Wenn du Sicherheitsbedenken hast, frage ich mich eher, warum ist die GUI vom Internet aus erreichbar? Aus meiner Sicht ist das bereits der erste Fehler und auch das größere Problem.
 
  • Like
Reactions: Neobin, CoolTux and Lukas Wagner
Ich verstehe auch nicht warum das so kritisch sein soll. Wer an deinen Host/Cluster kommt, der darf auch Wissen was da läuft.
Und falls man einen Host direkt im Internet betreibt ohne extra Firewall davor, patcht sowieso ganz oft und nutzt eh MFA für GUI und CLI.
 
You must log in or register to reply here.
Top Bottom