[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:29451] 速度ともうします。セキュリティーについて



速度と申します。

Debian Potatoベースの omoikane 1.1を使っているものです。

常時接続になったので、セキュリティー関係を気にしはじめたので、

チェッカー  nessus を 常時接続している マシンより 自分自身に対して

行ってみました。

すると apache サーバの設定と smtpサーバ(qmail)にセキュリティーホールありとの
レポートがなされました。



www (80/tcp)
  Secrity holes
    It is possible to read arbitrary files on 
    the remote server by prepending ../../
    or ..\..\ in front on the file name.

    solution : use another web server

    Risk factor: High
smtp(25/tcp)
    Security holes
      the remote SMTP server did not complain when issued the
      command:
        MAIL FROM:root@this_host
        RCPT TP:/tmp/nessus_test

       This probably means that it is possible to send mail directly
       to files, which is serious threat,since this allows
       anyone to overwrite any file on the remote server.

       NOTE: ** this secrity hole might be a false positive,since
        some MTAs will not complain to this test and will
        just drop the message silently.Check for the presence
        of file nessus_test in /tmp !**

      Solution: upgrede your MTA or change it.
      
      Risk factor: High

      the remote SMTP server did not complain when issued the
      command:
        MAIL FROM: root@this_host
        RCPT TO:|testing

      This probably means that it is possible to send mail directly
      to programs,which is a aerious threat, since this allows
      anyone to execute arbitray command on this host.

      NOTE: ** this security hole might be a false positive,since
       some MTAs will not complain to thistest,and instead will
       just drop message sillently **

        Solution : upgrade your MTA or change it.

      Risk factor : High

--------------------------------------------------------

パッケージはapt-get upgrade にていつも最新に保っているつもりです。

dpkg -s の結果は以下の通りです。

apache (1.3.9-14 )

qmail ( 1.03-14)


ちなみにWWWサーバのセキュリティーホールということであったので 

ネットスケープより 以下のURLを試しましたが、上位のディレクトリに
移動することは出来ませんでした。

http://ホスト名/../../
http://ホスト名/..\..\
http://ホスト名/../../etc/passwd

もしレポートの通り いろんなファイルが見られてしまうようであれば
大変です。(まさに アタックしほうだい)

もちろん ホームページは自前で 用意しているので 散々な目にあわされそうです。

/etc/apache 以下のファイルの設定なのでしょうか??

また SMTPのセキュリティーホールということで /tmp/nessus_test ファイル
が作られている感を受けたのですが、 このファイルも作成されていませんでした。

qmail は sendmail から必要最低限の機能しか ひきついでいないため、
エラーは出さないが機能自体が内のでしょうか?

セキュリティー関係にかなりうといので 何か糸口だけでもご存知の方
いらっしゃいましたら おしえていただけないでしょうか?