一応注釈しておくとBugtraqとはコンピュータセキュリティに関する脆弱性についての詳細な議論とアナウンスを目的として1993年11月5日より続くメーリングリストでる。27,000人越えるメンバーが参加しており、完全情報公開を旨として世界で最も豊富で多彩な情報を誇っている(※2)。
さて、その技術者の話では彼はインターネットで公開されているところからセキュリティ情報を集めることをほとんどしてないということだ。私はその話をきいていて、少々不安に感じることがある。
1.[apacheの認証]
今年の4月にこんな小さな騒ぎがあった。高セキュリティな掲示板開発などで知られる姫野ひみこ氏(※3)がネットワークツール開発中にApache/1.2.5のhttpd認証が奇妙な挙動を示すことに気づいた。REQUESTメソッドに
abc /bbs.cgi HTTP/1.0
というような無意味な文字列をセットしておくと、認証をパスしてしまうという。ひみこ氏とともにTeam Cr[y]ackerzのメンバーやその知人達がそれよりも新しいバージョンのapacheサーバをいくつか立て、同様の挙動を確認した。また、この認証を通り抜けてしまうのを防ぐための手法も同時に報告された。
これはいよいよbugtraqに報告しなければいけないだろうかという雰囲気になった時、一人から次のような指摘があった。.htaccess ファイルを作るときに
AuthType Basic
AuthUserFile /home/hoge/.htpasswd
AuthGroupFile /dev/null
<Limit GET POST>
require valid-user
</Limit>
と書いてはいないかと。上記のようにするとベーシック認証の対象となるのはGET と POST だけになり、abc などという METHOD は対象外になってしまい、認証を通ってしまう。 GET と POST 以外全てのものをベーシック認証の対象にしたければ
AuthType Basic
AuthUserFile /home/hoge/.htpasswd
AuthGroupFile /dev/null
require valid-user
と書かねばならない。
office
academic office
http://www.office.ac/
(※1) Bugtraq ml:
http://www.securityfocus.com/about/feedback/subscribe-bugtraq.html
(※2) BUGTRAQ-JP FAQ
http://www.securityfocus.com/forums/bugtraq-jp/faq.html#0.2.1
(※3) 姫野ひみこ:
Team Cr[y]ackerzの一員。共著としてWindowsのハッキングマニュアル2000
(データハウス)などがある。
http://www.backsection.net/whm/
(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/