[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01221] インフォスフィア、 W ebArenaのリスク管理



officeです

NTTPCが行うプロバイダであるインフォスフィアの多くのホストがApache/1.3.6で
運用されていました。
また同じくNTTPCがインフォスフィアと連動されて運営していた
ウェブホスティング/ハウジングサービスWebAreraにおいても多くのホストが
Apache/1.3.6で運用されていました。

従って当然以下のようなURLでCSS脆弱性が発現しました。

http://www.sphere.ne.jp/../<script>alert("hello")</script>
http://ip.sphere.ne.jp/../<script>alert("hello")</script>
http://www.nnas.ne.jp/../<script>alert("hello")</script>
http://www.cunets.ne.jp/../"><script>alert("hello")</script>

インフォスフィア(info-staff@xxxxxxxxxxxx, support@xxxxxxxxxxxx)には
 Fri, 22 Mar 2002 12:19:02 +0900に
WebArena(suite-tec@xxxxxxxxxxx, solo-support@xxxxxxxxxxx, sym@xxxxxxxxxxx)
には 22 Mar 2002 12:19:02 +0900に
それぞれ主としてクロスサイトスクリプティング脆弱性問題として報告しました。

しかし同時に、この古いバージョンのApacheは

Fixed in Apache httpd 1.3.11
Mass virtual hosting security issue 

Fixed in Apache httpd 1.3.14
Mass virtual hosting allows access to any file
Mass virtual hosting can display CGI source 
(以上 http://www.apacheweek.com/features/security-13 より引用)

という修正がなされる以前のものであり、ホスティングサービスなどにおいては
顧客を重大な危険を去らした状態になっていました。
従って、この問題を顧客に説明すべき旨も同時に報告しました。

しかし、インフォスフィアもWebArenaもこれら報告に何ら返信せず、密かに
ApacheのバージョンをApache/1.3.23にあげました。(先ほど3/29 2時頃
に確認しました。)

当然Web上では何の説明もなされてはおらず、顧客は自分たちの情報が
漏洩する危険性がある深刻な事態であったことを全く知らされず、
またその問題について過去にさかのぼって事実を調査をすることさえ
できずにいます。

残念ながらNTTPCのリスク管理は最低であり、顧客はその危険性を全く
知らされない状況にあることが明らかとなりました。

# 実際のところ、もっと酷い、どうしようもない状況のところがあることも
# わかってますが、公表に至るまでには状況が変わらなければならないようです。
# 残念ながら、本報告が一般ユーザをより安全なプロバイダ/ホスティング/
# ハウジングを利用ための指針や誘導になっているとは、必ずしも断言しきれない
# かなり悲しい現状です。
--
office
office@xxxxxxxx
http://www.office.ac/
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
           ★「ぶっブラウザに毛が生えてるっ!」
    http://toolbar.infoseek.co.jp/Skin?pg=skin_03_if.html&svx=971122