水無月ばけらのえび日記

IPA 脆弱性窓口微妙かも……

手元のストックを整理していて思ったのですが、IPA の脆弱性報告窓口、微妙かもしれません。

だいぶ前の話ですが、こういうケースがあります。

• PHP のパラメータに template=foo.html などというものが指定されているのを発見
• ちょっとだけ嫌な予感がしたので、template=/etc/passwd として GET してみる
• /etc/passwd が表示されちゃった……
• 管理者に通報

これは典型的な Path Traversal の脆弱性のケースです。サーバ内の任意のファイルが読めてしまうために非常に危険で、情報漏洩の可能性があります。

※まあ、どこかの CGI と違って ダイレクト OS コマンドインジェクションなんかはできなかったのですが。

このケースは幸いなことに非常に素早く対応して頂き、通報したその日のうちに「修正しました」という連絡を受けました。確認したところ、パラメータから "/" が消去されるようになっていました。これによって、テンプレートが置かれたディレクトリ以外のファイルが読めなくなり、任意ファイルの漏洩は発生しなくなったわけです。

……さて、このケースを私が今発見したらどうなるでしょうか。

• PHP のパラメータに template=foo.html などというものが指定されているのを発見
• ちょっとだけ嫌な予感がするが、template=/etc/passwd として GET してみるのは危険なので終了

こうなります。template パラメータの値を変えてテストしてみないと脆弱かどうかは判断できないのですが、template パラメータの値を変えてテストするのは危険です。

※個人的には template=/etc/passwd が不正アクセス禁止法に抵触するとは思いませんが、それを言うなら ng_file=csvmail.cgi だって不正アクセス禁止法に抵触するとは思えません。しかし警察や検察は後者について不正アクセス禁止法に抵触するという判断をしているわけですから、前者もそのように判断される可能性が十分にあります。

これを IPA に通報するとしたらどうでしょう。「CGI や PHP のパラメータにファイル名っぽいものが指定されている」というだけで通報するしかないと思いますが……それで良いのでしょうかね。IPA パンクしませんか?

• 「IPA 脆弱性窓口微妙かも……」にコメントを書く

関連する話題: セキュリティ / IPA