[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:01345] Re: cgiwrap 最新版で見つかっている新たなXSS脆弱性
- To: security-talk@xxxxxxxxxxxxxxxxxxxx
- Subject: [stalk:01345] Re: cgiwrap 最新版で見つかっている新たなXSS脆弱性
- From: SAKIYAMA Nobuo <sakichan@xxxxxxxxxxxx>
- Date: Sun, 28 Jul 2002 18:51:40 +0900
At Fri, 26 Jul 2002 18:47:30 +0900,
K-IM wrote:
> CGIWRAPのver3.7では、CGIWRAP側にて処置できるXSS脆弱性FIXを
> 全て網羅しています。もはや、確実有効に手を入れるところがほ
> とんどありません。今回お知らせする脆弱性は、CGIWRAPが正しく
> XSS脆弱性を克服しているにもかかわらず、IEやオペラなどの
> 一部のメジャーなブラウザの奇妙な実装のせいで、あたかもCGIWRAP
> に責任があるかのように見える、不思議なXSS脆弱性です。
> ----------------------------------
> では、どのような対処がありうるのか
> ----------------------------------
Apache でしたら、LocationMatch と BrowserMatch を組み合わせて
デバッグモードを一応活かしておく手はあるでしょうね。
IEだけ蹴る例としては、
BrowserMatch MSIE cgiwrapd-denied
<LocationMatch "cgiwrapd">
Order Deny, Allow
Deny from all
Allow frmo env=!cgiwrapd-denied
</LocationMatch>
とでもすれば。BrowserMatch はOpera等についても追加が必要でしょう。
もっとも、BrowserMatch は Options FileInfo の状況では .htaccess で上書
きできてしまいますので、完全ではないですが。
あと、厳しくする方向で「とにかく全部つぶしとこう」という場合は、
<LocationMatch "cgiwrapd">
Order Deny, Allow
Deny from all
</LocationMatch>
か
<LocationMatch "cgiwrapd">
Order Allow,Deny
Deny from all
</LocationMatch>
もやっておくと、より安全でしょうね (script 名を Alias や rewrite で隠
してしまうケースまで含めて考慮するのであれば、Files も使ったほうがいい
かも)。
--
SAKIYAMA Nobuo (崎山 伸夫) sakichan@xxxxxxxxxxxx
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
-- ★「え?あの商品がこの値段♪」見てる人は『得』してる!
http://ap.infoseek.co.jp/is_shop2.html