[stalk:00161] Re: IIS-Unicode ニューパターン発見(Re: βパッチ公開しました)

[Koji Shikata <shikap@xxxxxxxxxxxx>]

☆★@☆★☆.★　ソニー　サイバーショット　が当たる！　☆★@☆★☆.★

自動車保険　最大１５社を【無料】一括見積もり　「保険スクエアｂａｎｇ！」

　　　ココをクリック！⇒　http://www.easyml.com/1099.php3 
------------------------------------------------------------------------


しかＰ＠次から次へとまぁ、です。

タイトル通り、Unicode attackの新しいパターンを確認しました。
あらい＠ラックさんの協力により、IISでの脆弱性を確認することが
できました。
fw-noviceですでに公開しています。

内容を簡単に言うと、
「謎の転置パターンをどの%??に適用しても、デコードが可能」
ということです。
つまり、最初の%??を転置しても、２番目でも３番目でも、どれを転置
しても、IISはUnicodeとして解釈する、ということです。

このため、これらの転置パターンをシグネチャとしてルールセットを
作るのは、事実上不可能、ということになります。
＃だって順列組み合わせ、だっけ？１つの３バイトコードが
＃３×３×３＋１＝２８パターンに増えてしまいますから。

また、今はUnicodeをデコードしたらasciiコードになりました、って
パターンのみチェックしていますが、どうやら、asciiコードではない
「/」なんてのもUnicodeに定義されている可能性も出てきました。
これらまでIISが解釈可能とするなら、とっても大変な量のチェックを
行う必要がありそうです。

というわけで、ともかくも、現在公開しているβバージョンはαバージョンに
格下げします。せざるを得ないです。

週明けには新しいパッチを公開します。

＃こんな調子だと、いつ文字コード違いのチェックを行うルーチンを
＃つくりゃいいんだ？って感じですね。

  ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
  　　鹿田　幸治　　　　　　　Koji.Shikata
  　　　E-Mail:shikap@xxxxxxxxxxxx
              :shikap@xxxxxxxxxxxx
  ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　 インフォシーク★オススメお花見スポット＆全国各地の桜開花情報！
 http://www.infoseek.co.jp/Playspot?pg=playspot_top.html&svx=971122