水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年12月 > 2009年12月19日(土曜日)

2009年12月19日(土曜日)

ジェダイ毛布

公開: 2019年3月20日23時5分頃

最近ちまたで「ジェダイ毛布」というのが流行っているそうで。……これですか: 「NuKME (ヌックミィ) フリースガウンケット_モカブラウン (www.amazon.co.jp)」。確かにそれっぽいですね。

関連する話題: 与太話

7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出?

公開: 2019年3月20日17時30分頃

7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? (slashdot.jp)」だそうで。また丸見え系か……と思って読んでいたら、どうも単なる丸見えではなくて、ディレクトリトラバーサルで抜かれてしまったようですね。

URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。

bks.svlとesi.svlに脆弱性があり、本来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。

以上、冗長なUTF8によるディレクトリトラバーサル より

問題の発端は.svnとかのディレクトリ残してた事じゃなくてTomcatのディレクトリトラバーサルの脆弱性じゃないの?

それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。

以上、なんか誰も書いてないけど より

そういえば、そんな問題がありましたね。CVE-2008-2938 (cve.mitre.org)ですか (日本語参考: JVNDB-2008-001611 (jvndb.jvn.jp)。「Apache-Tomcatと冗長なUTF-8表現(CVE-2008-2938検証レポート) (www.icto.jp)」というPDF文書も公開されています)。

7&YネットショッピングではApache Tomcat/4.1.29が使われているようですが、Apache Tomcat 4.x vulnerabilities (tomcat.apache.org)を見ると、本件は "Not a vulnerability in Tomcat" となっています。

Originally reported as a Tomcat vulnerability the root cause of this issue is that the JVM does not correctly decode UTF-8 encoded URLs to UTF-8.

(~中略~)

Although the root cause was quickly identified as a JVM issue and that it affected multiple JVMs from multiple vendors, it was decided to report this as a Tomcat vulnerability until such time as the JVM vendors provided updates to resolve this issue. For further information on the status of this issue for your JVM, contact your JVM vendor.

A workaround was implemented in revision 681065 that protects against this and any similar character encoding issues that may still exist in the JVM. This work around is included in Tomcat 4.1.39 onwards.

以上、important: Directory traversal CVE-2008-2938 より

超訳すると、「Tomcatが悪いのではなく、JavaのVMが正しくデコードしないのが悪いのだが、Tomcat4.1.39では回避策を講じた」という話のようですね。

というわけで、少なくとも4.1.39以降にしておけば、ソースコードを見られることはなかったものと考えられます。セブンネットショッピングは新しいサービスなのかと思っていましたが、古いミドルウェアを使い続けなければならない事情があったのでしょうか?

関連する話題: セキュリティ

ゲームセンターCX DVD-BOX6

公開: 2009年12月19日15時20分頃

購入。

昨日から今日にかけて一気に見てしまいました。

今回の挑戦は、私がプレイしたことのないゲームばかりでしたね。かろうじて、特典の「イー・アル・カンフー」はプレイしたことがありましたが……「仮面の忍者 花丸」に至っては、名前すら知りませんでした。

一番面白かったのは、特典映像のパート2。ラスボス第2形態で苦戦し、ラスト1機となったところで、なんとカメラマンの阿部さんが安地を予言、実際にやってみると本当に安地だったというスーパープレイ(?)で見事にクリア。これは笑いました。

関連する話題: ゲーム / DVD / 買い物 / ゲームセンターCX

最近の日記

関わった本など