水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > IPA 脆弱性窓口微妙かも……

IPA 脆弱性窓口微妙かも……

2004年4月10日(土曜日)

IPA 脆弱性窓口微妙かも……

手元のストックを整理していて思ったのですが、IPA の脆弱性報告窓口、微妙かもしれません。

だいぶ前の話ですが、こういうケースがあります。

これは典型的な Path Traversal の脆弱性のケースです。サーバ内の任意のファイルが読めてしまうために非常に危険で、情報漏洩の可能性があります。

※まあ、どこかの CGI と違って ダイレクト OS コマンドインジェクションなんかはできなかったのですが。

このケースは幸いなことに非常に素早く対応して頂き、通報したその日のうちに「修正しました」という連絡を受けました。確認したところ、パラメータから "/" が消去されるようになっていました。これによって、テンプレートが置かれたディレクトリ以外のファイルが読めなくなり、任意ファイルの漏洩は発生しなくなったわけです。

……さて、このケースを私が今発見したらどうなるでしょうか。

こうなります。template パラメータの値を変えてテストしてみないと脆弱かどうかは判断できないのですが、template パラメータの値を変えてテストするのは危険です。

※個人的には template=/etc/passwd が不正アクセス禁止法に抵触するとは思いませんが、それを言うなら ng_file=csvmail.cgi だって不正アクセス禁止法に抵触するとは思えません。しかし警察や検察は後者について不正アクセス禁止法に抵触するという判断をしているわけですから、前者もそのように判断される可能性が十分にあります。

これを IPA に通報するとしたらどうでしょう。「CGI や PHP のパラメータにファイル名っぽいものが指定されている」というだけで通報するしかないと思いますが……それで良いのでしょうかね。IPA パンクしませんか?

関連する話題: セキュリティ / IPA

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト