Likes: 
Ik kreeg vandaag van een oplettende klant het mailtje dat hij bij het downloaden van zijn eigen access logs via FTP ineens alle domlogs uit kon lezen.
Het gaat hier om een bug in cPanel. Wanneer je inlogt met <username>_logs wordt je doorgezonden naar /usr/local/apache/domlogs, vervolgens krijg je een listing van álle domlogs op de server. Hoewel je de domlogs van andere users niet kunt downloaden is dit wel een euvel dat ik zelf alles behalve netjes vind. Immers kunnen op die manier alle users kijken hoeveel accounts er op een server staan en hoe groot de bijhorende logs zijn.
De echte fix zou zijn om alle users een aparte directory te geven voor hun logs. Dit is echter een gigantisch werk om handmatig te verrichten en je zou dit voor iedere nieuwe user ook weer apart moeten doen.
De (tijdelijke) fix voor dit probleem is "chmod 751 /usr/local/apache/domlogs"
Zo kunnen users de directory listing niet meer ophalen, maar nog wel via cPanel hun eigen domlogs uitlezen.
En dan maar wachten totdat cPanel komt met de "echte fix"
