Thirdware Inc. | phf と Count.cgi

phf と Count.cgi

CERT Coordination Center という米国の団体があり、CERT Advisory、CERT bulletin という、セキュリティに関する勧告を随時発行しています。昨年から今年にかけて再三発行されているものに、CGI関連のセキュリティがあります。

ここではもはや古典的とも言える phf によるパスワード窃取、最近の話題である Count.cgi のセキュリティ・ホールを紹介しましょう。また注意深いCGI書きには常識かもしれませんが、フォームの処理に関する注意事項も書いておきます。

● phfをめぐる話題

NCSA httpd や APACHE の phf サンプル CGI スクリプトは、/etc/passwdの窃取などに悪用される可能性が極めて高いことが知られています。みなさんの WWWサーバのcgi-binディレクトリに phf が入っていたら、即刻削除するか実行可能属性を取り消すべきでしょう。また、実際に phf を利用したアタックを受けたことがあるかどうかは、access_logファイルに "/phf" という文字が入っているかどうかを grep で調べればわかります。もし、その行が次のようになっていれば、

ホスト名 -- [日付] "GET /cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd" 404 -

アタックを受けたことがわかります。ステータスコード(上の例では404)が200だったら、アタックが成功した可能性があります。

●Count.cgi のセキュリティホール

もうひとつの Count.cgi の問題点は、CERT advisory に CA-97.24 として公開されています。Count.cgi はアクセスカウンタのプログラムとして広く使われているもののひとつです。このプログラムのセキュリティホールを悪用すると、httpd がCGIスクリプトを呼び出す時のユーザー(nobodyがディフォルト)権限で任意のコマンドを実行できます。

/etc/passwdなどのセキュリティ上重要なファイルの窃取などが可能となるわけです。Count.cgi の最新版(97年12月7日現在2.4が最新です)では、このホールは塞がれています。最新版にバージョンアップするか、不可能な場合は実行可能属性を取り消し、アクセスカウンタの運用を停止すべきです。

●フォームのセキュリティ

その他にも、CGI関連ではさまざまなセキュリティ対策が必要だと指摘されています。たとえば、フォームでユーザーメールアドレスを入力しもらい、そのアドレスにメールを送るようなCGIスクリプトがあるとします。メールを送るコマンドを実行するには、Perlでは次のような行を用意することになります。変数 $mailto はユーザが入力したメールアドレスです。

'cat ファイル名 | /bin/mail $mailto';

もし悪意のユーザが

foo@bar.co.jp; cat/etc/passwd

と入力したらどうなるでしょうか？シェルでセミコロンは複数のコマンドを区切る働きを持ちます。ユーザが入力した値をそのまま使ってしまったら、ユーザのブラウザには /etc/passwd の内容が表示されことになります。

こういうアタックを防ぐには、シェルやHTMLファイルで意味を持つ記号(";"、"<"など)を "_" など「無害」な文字に置き換える必要があります。この必要性は、CERT Advisory CA-97,25などで力説されています。ただし、JISでは第2バイトが0x40～0x7eになる文字もあります。いったんEUCに変換してから置き換えるなど、文字コードにも注意する必要があります。CGIプログラムを使っている方は、中身を一度点検してください。

【Linux Japan Vol.6 掲載記事を加筆修正】

前へ戻る次へ