トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2007-01-01

_ [etc] あけましておめでとうございます

昨年はいろいろお世話になりました。
今年もよろしくおねがいします。

本日のツッコミ(全3件) [ツッコミを入れる]

_ ori [あけおめ、ことよろです〜♪]

_ うえひろ [あけましておめでとうございます! 今年もよろしくお願い致します。]

_ AzureStone [    *'``・* 。       |     `*。      ,。∩パハ   *     + ( ゜∀゜..]


2007-01-04

_ [webappsec] [WEB SECURITY] Universal XSS with PDF files: highly dangerous

サイト上にPDFがある場合、

http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here

とアクセスすることで、スクリプトが実行されてしまうという問題。

Firefox 2.0 + Acrobat 7.0 で再現を確認。ちょっと凝ったスクリプトを実行させようとしたら Firefox が死んでしまったのでどこまでできるのか不明だけど他サイトに置いたスクリプトを読み込ませられたので、こりゃやばそう。

Acrobat 側の問題だとは思うけど放置しておけないので、手元の環境では、Content-Type: application/pdf ではなく、application/octet-stream を返すよう、以下のように Apache を設定してみた。とりあえず再現しなくなったようなのだが、これでいいのかどうか不安。

AddType application/octet-stream .pdf

IE でも起こるらしい(手元で再現できてない)。そうすると、前述の対策では「拡張子ではなく、内容によってファイルを開くこと」のせいでうまくいかない。

Content-Disposition: attachment;

をつけて返すことで回避できそう。前述のも含めるとこんな感じかな。

<Files "*.pdf">
Header set Content-Disposition: attachment
ForceType application/octet-stream
</Files>

_ [webappsec] Adobe Acrobat Reader Plugin - Multiple Vulnerabilities

これによると、Version 8.0.0 で修正されてるとのこと。早めにアップデートしておきましょう。って、7以下に対するアップデートはなし?

本日のツッコミ(全1件) [ツッコミを入れる]

_ みすみ [おっと、こりゃ大変だ。]


2007-01-06

_ [etc] Adobe - Cross-site scripting vulnerability in versions 7.0.8 and earlier of Adobe Reader and Acrobat

Adobe からのアドバイザリ。来週 7.0.9 を出すらしいけど、7でなければいけない理由がなければ、早めに8にアップグレードしてしまった方がいいでしょう。


2007-01-17


2007-01-25

_ [etc] JVN#82258242:ショッピングバスケットプロにおける OS コマンドインジェクションの脆弱性

昨年の7月27日に修正されていた問題が、JVNに挙がった。

これは、2006年7月26日に開発者に直接連絡、27日に修正され、開発者の承諾も得て31日にIPAに届け出たもの。しかし「開発者にて修正版が公開されている」ことから、不受理になった。その後 IPA や JPCERT/CC で様々な検討や調整をしたんだと思うけど、広く周知するためということでようやくJVNで公開になった。

5年前に一度ネットサーフレスキューさんに脆弱性の連絡をした際、素早く対応して頂いた経験があったので、この件を見つけた時どちらに先に連絡するか迷ったけど、先に開発者に連絡することにした。すぐに対策版が公開されたものの、JVNをうまく利用できず公開されるのが半年後になってしまい、よかったのか悪かったのか...

ただ昨年9月から、「自社製品に関する 脆弱性関連情報の届出」ということができるようになっているので、開発者に直接連絡した場合でもこれを使って周知することを提案するとよいでしょう。

参考: 情報処理推進機構:セキュリティセンター:脆弱性情報の届出


無料アクセス解析