-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

======================================================================
CGI PROGRAM SECURITY ADVISORY                               2001/01/20
[CargoPro 3.34, 4.11, 5.20, 5.04i, 5.10wm]
======================================================================
http://www.ansi.co.jp/cgi/security/advisories/cargopro_2001_01_20.txt
======================================================================

■ 影響を受けるCGIプログラム

* ショッピングバスケットプロ 3.34
* ショッピングバスケットプロ 4.11
* ショッピングバスケットプロ 5.20
* ショッピングバスケットプロ 5.04i
* ショッピングバスケットプロ 5.10wm

■ 概要

ショッピングバスケットプロ 3.34, 4.11, 5.20, 5.04i, 5.10wm はレスキュー
(Rescue) 氏によって作成されたショッピングカート CGI プログラムです。こ
のプログラムには外部から任意のファイルを削除することが可能なセキュリティ
上の問題があります。

ショッピングバスケットプロ 3: http://www.rescue.ne.jp/cgi/cargo3/
ショッピングバスケットプロ 4: http://www.rescue.ne.jp/cgi/cargo4/
ショッピングバスケットプロ 5: http://www.rescue.ne.jp/cgi/cargo5/
ショッピングバスケットプロ 5 Imode専用対応版:
                              http://www.rescue.ne.jp/cgi/icargo/
ショッピングバスケットプロ 5 WebMoney専用対応版:
                              http://www.rescue.ne.jp/cgi/cargo5wm/

■ 解説

上記のバージョンのショッピングバスケットプロに含まれる cargo.cgi では
外部から与えられる注文番号の汚染チェックを怠り、それをそのままファイル
名に使用しているため、外部から CGI プログラムの実行権限で任意のファイ
ルを削除可能です。

■ 影響

CGIプログラムが各ユーザ権限で実行されるシステム (Apache + SuEXEC など)
の場合、そのユーザの所有する任意のファイルを削除可能です。これによって
ユーザ環境が破壊される可能性があります。そうではない場合でも、CGI プロ
グラムの実行 UID が所有する任意のファイルを削除可能です。

■ 回避方法

新しいバージョンのプログラムを入手して入れ替えます。

■ 参考コード

#! /usr/bin/perl -w

use LWP::Simple;

getprint "http://host/cargopro_5.20/cargo.cgi?DELETE=hoe&_order=../path/to/file%00";

__END__

■ 変更履歴

2001/01/20: 公開
2001/01/20: 対象バージョンの誤りを修正
2001/02/03: 参考コードを追加

======================================================================

(C) 2001 ASUKA NETWORK SERVICE, INC.  http://www.ansi.co.jp/
         HIRATA YASUYUKI              http://yasu.asuka.net/
All rights reserved.

* この文書に書かれている内容は無保証です
* この文書に書かれている内容を利用して攻撃を行った場合、刑事上・民事上
  の責任を問われることがあります。
* このファイルは内容の変更 (電子署名の除去を含む) が行われない限り自由
  に再配布可能です。

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (FreeBSD)
Comment: For info see http://www.gnupg.org

iD8DBQE7rqd6duP2KhBu8ikRAh1bAKCMYK/fQGRumIjBCrjSvMChZp1z6gCguKjZ
zd+mKOdZqEdS0nIe1/dLP1GIPwMFATuup3rCitaZXxzdBBECHVsAn1xtCfODWS16
+H7SumEBwMhqdsqLAJ9HRh631IkOyXoXVp+4RsvXt//Tiw==
=0HaH
-----END PGP SIGNATURE-----