このメールは, announce-jp に流れた Subject: ANNOUNCE: FreeBSD Ports Security Advisory: FreeBSD-SA-00:73.thttpd From: FreeBSD Security Advisories Date: Mon, 20 Nov 2000 13:29:17 -0800 (PST) Message-Id: <20001120212917.C4AB237B682@hub.freebsd.org> X-Sequence: announce-jp 608 を日本語訳したものです. この勧告の中で紹介されている WWW サイト http://www.FreeBSD.org/ および FTP サイト ftp://ftp.FreeBSD.org/ には, 日本のミラーサイトが存在します. ミラーサイトを利用するには, http://www.FreeBSD.org/ を http://www.jp.FreeBSD.org/www.freebsd.org/ に, ftp://ftp.FreeBSD.org/ を ftp://ftp.jp.FreeBSD.org/ に, それぞれ置き換えてください. ネットワークの混雑を緩和するため, まずはミラーサイトの利用を 考慮するようお願いします. ミラーサイトに関する詳細は http://www.FreeBSD.org/handbook/mirror.html (英文) http://www.FreeBSD.org/ja/handbook/mirror.html (日本語訳) に, また, 過去の日本語版セキュリティ勧告は http://www.FreeBSD.org/ja/security/ にまとめられています. 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. パッチ等の内容が改竄されていないことを確認するために PGP のチェックを 行なうには, 原文を参照してください. 日本語訳は FreeBSD 日本語ドキュメンテーションプロジェクト (doc-jp) が参考の ために提供するもので, doc-jp は その内容についていかなる保証もいたしません. 日本語訳についてのお問い合わせは doc-jp@jp.FreeBSD.org までお願いします. --(ここから) ============================================================================= FreeBSD-SA-00:73 Security Advisory FreeBSD, Inc. トピック: thttpd allows remote reading of local files 分類: ports モジュール: thttpd 告知日: 2000-11-20 クレジット: ghandi@MINDLESS.COM 影響範囲: 修正日以前の Ports Collection 修正日: 2000-10-30 ベンダの対応: 修正版が公開済み FreeBSD に固有か: NO I. 背景 - Background thttpd はシンプルで小さく, 高速な HTTP サーバです. II. 問題の詳細 - Problem Description thttpd port のバージョン 2.20 より前のものには, ローカルサーバ上の 任意のファイルをリモートから見ることができるような, セキュリティ上の 弱点が存在します. これは, 'ssi' という CGI スクリプトが, パスに ".." を含む URL エンコードされた要求を適切に制限しないことが原因です. また, この CGI スクリプトは, ウェブサーバに必要な, web root の外側 (訳注: http サーバがファイル検索の基点として用いる検索パス, いわゆる document root の外側のこと) への要求を制限する機能も備えていません. この二つの欠陥を悪用することで, リモートユーザはウェブサーバを 動作させているユーザ (標準設定では 'nobody' ユーザ) の権限で アクセス可能な, システム上のあらゆるファイルにアクセスすることが可能に なります. thttpd の port はデフォルトでインストールされるものではなく, 「FreeBSD システムの一部」を構成するものでもありません. それらは 4100 を越えるサードパーティ製アプリケーションがすぐに インストールできる形で収められている FreeBSD Ports Collection の一部です. リリース後に問題が見つかったため, FreeBSD 3.5.1 および 4.1.1 とともに 出荷された Ports Collection はこの問題を含んでいますが, この問題は FreeBSD 4.2 のリリース前に修正されました. FreeBSD では, このようなサードパーティ製アプリケーションのセキュリティ 問題に対して, 特に何かを主張することはありません (訳注: Ports Collection に 入っているからといって, FreeBSD の開発者たちがそのアプリケーションが 安全であると評価したわけではありません). ただし, セキュリティ問題に対して 大きな影響を持つような ports に対するセキュリティ監査を提供すべく, 現在努力中です. III. 影響範囲 - Impact リモートユーザは, ウェブサーバを動作させているユーザ (標準設定では 'nobody' ユーザ) の権限でアクセス可能な, システム上のあらゆるファイルに アクセスすることが可能です. thttpd の port/package をインストールしていなければ システムにこの問題によるセキュリティ上の弱点はありません. IV. 回避方法 - Workaround thttpd の port/package がインストールされている場合は, それをシステムから削除してください. V. 解決策 - Solution 次のいずれかに従ってください. 1) Ports Collection 全体をアップグレードし, thttpd の port を再構築します. 2) 古い (訳注: thttpd の) package をシステムから削除し, 修正日以降に 作成された新しい package を以下の場所から取得してインストールします. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/www/thttpd-2.20b.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/www/thttpd-2.20b.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/www/thttpd-2.20b.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/www/thttpd-2.20b.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/www/thttpd-2.20b.tgz 3) thttpd port の新しい port スケルトンを以下の場所からダウンロードし, それを使って port を再構築します. http://www.freebsd.org/ports/ 4) 上記 (3) の操作を自動的に行なう portcheckout ユーティリティを使います. portcheckout の port は /usr/ports/devel/portcheckout にあります. また, portcheckout の package が以下の場所から入手可能です. ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-3-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-4-stable/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/i386/packages-5-current/devel/portcheckout-2.0.tgz ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/alpha/packages-5-current/devel/portcheckout-2.0.tgz $hrs: announce-jp/FreeBSD-SA/00:73,v 1.2 2000/11/23 17:43:49 hrs Exp $