[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:40142] Re: CGI設置についてのご質問解決しました。

From: YOSHIFUJI Hideaki / 吉藤英明 <yoshfuji@xxxxxxxxxxxxxx>
Subject: [debian-users:40142] Re: CGI設置についてのご質問解決しました。
Date: Thu, 8 Apr 2004 07:27:14 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
Organization: USAGI Project
X-face: "5$Al-.M>NJ%a'@hhZdQm:."qn~PA^gq4o*>iCFToq*bAi#4FRtx}enhuQKz7fNqQz\BYU] $~O_5m-9'}MIs`XGwIEscw;e5b>n"B_?j/AkL~i/MEa<!5P`&C$@oP>ZBLP
X-fingerprint: 9022 65EB 1ECF 3AD1 0BDF 80D8 4807 F894 E062 0EEA
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
X-pgp-key-url: http://www.yoshifuji.org/%7Ehideaki/hideaki@xxxxxxxxxxxxxxxxx
X-sender: "Hideaki YOSHIFUJI" <yoshfuji@xxxxxxxxxxxxxxxxxxxxxxxxx>
X-spam-level:
X-spam-status: No, hits=-2.4 required=10.0 tests=ISO2022JP_BODY,QUOTED_EMAIL_TEXT,SPAM_PHRASE_00_01 version=2.44
X-url: http://www.yoshifuji.org/%7Ehideaki/
References: <20040407.133105.68079321.yoshfuji@xxxxxxxxxxxxxx> <20040407.192934.730551617.tolu@xxxxxxxxxxxxxxxxx> <20040407230415.ABDD.YSATOH@xxxxxxxxxxxx>
Message-id: <20040408.072732.46091856.yoshfuji@xxxxxxxxxxxxxx>
X-mail-count: 40142
X-mailer: Mew version 2.2 on Emacs 20.7 / Mule 4.1 (AOI)

In article <20040407230415.ABDD.YSATOH@xxxxxxxxxxxx> (at Thu, 8 Apr 2004 01:19:42 +0900), 佐藤　義博 <ysatoh@xxxxxxxxxxxx> says:

> > > |入口の index.html なり、index.cgi、index.php なりから
> > > |のみ呼出先の cgi が実行できるような仕様になっていないと
> > > |いけないと思います。
> > > 
> > > は、具体的にはどういう仕様でしょう？
> (…略…)
> > そのくらいのことが分からないのなら、突っ込まないように。
> ※「入口の index.html なり、index.cgi、index.php なりからの
> み呼出先の cgi が実行できるような仕様」を「入り口チェック」
> と定義させていただきます。

「入口の index.html なり、index.cgi、index.php なりからのみ
呼出先の cgi が実行」は、index.html や index.cgi, index.php 「が」
例えばSSI(<!--#exec cgi="/path/to/cgi" -->)を用いてでCGIを呼び出すように
とれるので、適切ではありません。

HTMLやCGIやPHPでなく、UAが呼び出すのであれば、せめて、
「入口の index.html なり、index.cgi、index.php なりへのアクセスを
経由したリクエストのみ CGI を実行」としなければならないです。

ただ、これでも、実装する上では、その"経由"の定義が曖昧です。
まぁ、Refererや"Session ID"(一時的な(一般な意味での)"クッキー")を使う、
というのも割とすぐに思いつくことではあるでしょうが、
("脆弱性"の意味するところが明らかではないので、)
その"経由"の定義が適切なのか不明です。

("脆弱性"の意味するところが明らかでないので、)
チェックのために「CGI」を"実行"することはいいのか悪いのかも不明ですし。

ま、個人的には、そんな脆弱性は存在しないか、あるいは問題にすべき脆弱性は
別だと思うので、結果、解決策も違うはずだと思いますけれど。

--yoshfuji

References:
- [debian-users:40119] Re: CGI設置についてのご質問解決しました。
  - From: YOSHIFUJI Hideaki / 吉藤英明
- [debian-users:40124] Re: CGI設置についてのご質問解決しました。
  - From: Tolu Kuliyama
- [debian-users:40138] Re: CGI設置についてのご質問解決しました。
  - From: 佐藤　義博

Prev by Date: [debian-users:40141] 叩き台 kernel-image-2.6.4-1-686
Next by Date: [debian-users:40143] Re: CGI設置についてのご質問解決しました。
Previous by thread: [debian-users:40140] Re: CGI設置についてのご質問解決しました。
Next by thread: [debian-users:40143] Re: CGI設置についてのご質問解決しました。
Index(es):
- Date
- Thread

[debian-users:40142] Re: CGI設置についてのご質問解決しま した。

[debian-users:40142] Re: CGI設置についてのご質問解決しました。