水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出?

7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出?

2009年12月19日(土曜日)

7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出?

公開: 2024年12月24日17時30分頃

7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? (slashdot.jp)」だそうで。また丸見え系か……と思って読んでいたら、どうも単なる丸見えではなくて、ディレクトリトラバーサルで抜かれてしまったようですね。

URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。

bks.svlとesi.svlに脆弱性があり、本来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。

以上、冗長なUTF8によるディレクトリトラバーサル より

問題の発端は.svnとかのディレクトリ残してた事じゃなくてTomcatのディレクトリトラバーサルの脆弱性じゃないの?

それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。

以上、なんか誰も書いてないけど より

そういえば、そんな問題がありましたね。CVE-2008-2938 (cve.mitre.org)ですか (日本語参考: JVNDB-2008-001611 (jvndb.jvn.jp)。「Apache-Tomcatと冗長なUTF-8表現(CVE-2008-2938検証レポート) (www.icto.jp)」というPDF文書も公開されています)。

7&YネットショッピングではApache Tomcat/4.1.29が使われているようですが、Apache Tomcat 4.x vulnerabilities (tomcat.apache.org)を見ると、本件は "Not a vulnerability in Tomcat" となっています。

Originally reported as a Tomcat vulnerability the root cause of this issue is that the JVM does not correctly decode UTF-8 encoded URLs to UTF-8.

(~中略~)

Although the root cause was quickly identified as a JVM issue and that it affected multiple JVMs from multiple vendors, it was decided to report this as a Tomcat vulnerability until such time as the JVM vendors provided updates to resolve this issue. For further information on the status of this issue for your JVM, contact your JVM vendor.

A workaround was implemented in revision 681065 that protects against this and any similar character encoding issues that may still exist in the JVM. This work around is included in Tomcat 4.1.39 onwards.

以上、important: Directory traversal CVE-2008-2938 より

超訳すると、「Tomcatが悪いのではなく、JavaのVMが正しくデコードしないのが悪いのだが、Tomcat4.1.39では回避策を講じた」という話のようですね。

というわけで、少なくとも4.1.39以降にしておけば、ソースコードを見られることはなかったものと考えられます。セブンネットショッピングは新しいサービスなのかと思っていましたが、古いミドルウェアを使い続けなければならない事情があったのでしょうか?

関連する話題: セキュリティ

最近の日記

関わった本など