[stalk:00403] Re: IIS CGI Filename Decode Error Vulnerability

["TAKAGI, Hiromitsu" <takagi@xxxxxxxxx>]

On Wed, 16 May 2001 14:07:22 +0900 
Shikap <shikap@xxxxxxxxxxxx> wrote:
> on 01.5.16 1:26 PM, TAKAGI, Hiromitsu at takagi@xxxxxxxxx wrote:
> > 同様の問題は3月中旬に別のものに対して指摘されており、その問題はOSに近
> > い基本部分に原因がありそうなので、IISだけでなく広範に影響を及ぼす可能
> > 性があるのではないかと推定しています。
> 
> ３月中旬の指摘についてポインタを見つけられない私がいますが（だめだめ）、
> もし上記の指摘が真実ならば、相当影響部位が広そうですね。

3月中旬は私の勘違いで、4月2日でした。これです。
http://www.securityfocus.com/archive/1/173232
（TomcatはJavaで書かれたウェブサーバ&サーブレットエンジンです。）

その後のTomcat-Devの議論を見ていたところ、この現象はJDK 1.2.2では発生
せず、JDK 1.3以降で再現するという指摘がありました。

それを見て私は、Javaのファイルに関するAPIがパス名をURLで扱うように変更
されたために起きていると推理しました。そのため、先に述べたように、他に
も影響を及ぼす深刻な問題だ、と考えていたのでしたが...

さきほど確認をしてみたところ、私のこの推測は誤りで、杞憂だったことがわ
かりました。
    new FileInputStream("Test%2e.java")
などとして試したのですが、ファイル操作APIのパス名にURLエンコードしたも
のを渡してもそれがデコードされて解釈されることは起きませんでした。
Windows 2000上のJavaで実行しても起きませんでした。

Tomcatでその現象が起きたのは、おそらく、Tomcat内でファイル操作に
java.net.URLを使用しているためではないかと推測されます。以下の実行結果
に、JDK 1.2.2 までと JDK 1.3以降とで違いが出ました。
  new URL("file:///etc/inetd%252econf").openConnection().getInputStream();

したがって、以下の発言を取り消します。

> > > > その問題はOSに近い基本部分に原因がありそうなので、IISだけでなく広範に
> > > > 影響を及ぼす可能性があるのではないかと推定しています。

TomcatとIISがたまたま似たようなことをやっていたということ、という可能
性の方が高くなりました。

が、念のため他の製品も確かめてみた方がよいと思います。


高木 浩光＠産業技術総合研究所
http://www.etl.go.jp/~takagi/ (仮)

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　　　ふとした疑問ありますか？　　　　　　　　　　　
　　 http://www.infoseek.co.jp/GHome?pg=gn_top.html&svx=971122