Netscape/Mozillaにローカルファイル読みとりの脆弱性 40
ストーリー by wakatono
増える他山の石 部門より
増える他山の石 部門より
jbeef曰く、"4月30日にBUGTRAQに投稿された記事によると、 Netscape 6およびMozillaにローカルファイルの読み出しが可能なセキュリティホールがあるとのこと。 この欠陥は、MS02-008で修正されたIEのXMLHTTPの脆弱性のときと全く同じ方法で攻撃できてしまうものだとか。 発見者のGrayMagic Softwareは、4月24日にsecurity@netscape.comとsecure@netscape.comに連絡したが返事がなかったとのこと。Netscapeは、$1,000の報奨金を出すBug Bountyプログラムを実施しているが、この発見者は、これを「The money is irrelevant, but using such a con to attract researchers into disclosing bugs to Netscape is extremely unprofessional.」と批判し、今後Netscapeの脆弱性についてはNetscapeに通知することなく公表するとし、セキュリティコミュニティの他の者にもそれを勧めるとしている。"
修正作業が行われている最中です (スコア:3, 参考になる)
集約されているので実質は1つ目の #141061です)
http://bugzilla.mozilla.org/show_bug.cgi?id=141061
http://bugzilla.mozilla.org/show_bug.cgi?id=141208
http://bugzilla.mozilla.org/show_bug.cgi?id=141212
trunkへは修正が投入され、続いて 1.0.0ブランチへの投入と
確認が行われるところです。
Re:修正作業が行われている最中です (スコア:1)
そのSecurity Advisoryのページで解決方法として
"Users of Netscape Navigator should move to a better performing, less buggy browser. "と書いています。
腹が立ってるんですかね。
mozillaZineのトークバックでは、lynxだ、w3mだ、いや、
Mozillaがすでにそれにあたるものだ、などという意見が
出てます。
- Ryuzi Kambe -
XMLHttpRequest がローカルファイルを参照できる問題 (スコア:0)
http://bugzilla.mozilla.org/show_bug.cgi?id=141061
trunk, 1.0.0branch の両方に修正が加えられました。
元報告者の http://sec.greymagic.com/adv/
でも Status: Patched です。
たぶん 2002/5/1 の 8時辺り以降のビルドなら fixed
なんじゃないかと思います。
Re:XMLHttpRequest が・・・Build ID: 2002050108で確 (スコア:0)
>なんじゃないかと思います。
Build ID: 2002050108 にて、explorerもsnifも問題無し
(再現しません)でした。OS:WinNT4.0WS-4.00.1381です。
ご報告ありがとうございます。
ヒーローの声でどうぞ (スコア:2, 参考になる)
Re:ヒーローの声でどうぞ (スコア:2, すばらしい洞察)
Re:ヒーローの声でどうぞ (スコア:1)
それより、Netscape にバグ報告するのと Mozilla プロジェクトに報告するのは別窓口になっているのかな。テストは Mozilla でもやってるんだよね。
Re: 問題報告の窓口&あつかい (スコア:0)
mozilla.org が mozilla.org の名でリリースしているのは Mozilla
ですよね。
Netscape 6 は Mozilla の派生製品ですので、例えばFooという会社の
Foo-Linux というディストリビューションをベースにした Barという
会社の Bar-Linuxというディストリビューションがあったとして、
Barは Bar-Linux を開発する上でFoo-Linuxへの寄与を行っていると
します。そこで Foo-Linuxに由来するバグが Foo-LinuxとBar-Linuxの
両方に見つかった場合、Fooと Barの両方に連絡するんじゃないで
しょうか。(Foo-Linuxを
Re: 問題報告の窓口&あつかい (スコア:1)
あと、Galeon はどうなってる?名前があがってこないけど。
Re: 問題報告の窓口&あつかい (スコア:0)
Bonsai で変更内容を見る [mozilla.org]と Geckoの下層のモジュールが
変更されているように思えますの
Re: 問題報告の窓口&あつかい (スコア:0)
Netscape と Mozilla の関係といえば、Borland の InterBaseと
Firebird の関係をたとえるのに Netscape と Mozilla をあげる
文書を見かける。ここ数日で見た雑誌にもあったように思う。
確かに企業とオープンソースコミュニティという2要素は一緒だけど
Netscape は mozilla.org の活動に参加しコミュニティの一員として
mozilla を作り、それをもとにNetscape 6を作成している一方、
Borland の InterBase と Firebird はそうじゃないんだよね。
Borland の InterBase と Firebird はオープンソースプロジェクトの
成果であるかどうかの視点で言え
むしろこの文面なら・・・ (スコア:1, おもしろおかしい)
「せっかく金がもらえると思ったのに嘘だったなんて
ネスケそれでもプロかよ?
さっさと金よこせ」
と読んだのですが・・・
金がもらえると思って嬉々としてバグ探ししてる
彼の姿を想像してました。
Re:むしろこの文面なら・・・ (スコア:0)
もしお金目当てだったとしても、それを批判する
ことはちょっとおかしいかと。
私は、お金を得るために会社と契約して仕事をしてます。
もし会社が約束をやぶって給料をくれなかったら....?
Re:むしろこの文面なら・・・ (スコア:0)
「お金は関係ない」 money is irrelevant
といってるのに、Mozillaコミュニティには知らせないで
Netscapeにいの一番に知らせたとことを
皮肉ってるだけです。
大ぴらに「金くれ」っていうぶんにはいたってまともじゃないですかねぇ。
私なら「金くれ」そう言いますって
# もしくは"money is irrelevant"なんて書かない
Re:むしろこの文面なら・・・ (スコア:1)
「お金を期待していたのは確かだけど、なんかもうそれ以前の部分で腹が立っちまった。金よこせとまでとはいわないが、もうちょっとまともな対応したらどうなの?」
といった感じなんでしょうね。
うじゃうじゃ
Exciteのテキスト翻訳をやってみました (スコア:0)
「金銭は無関係です。しかし、ネットスケープにバグを発表することへ研究者を引きつけるためにそのような反対意見を使用することは非常に専門外です。」
後半が変ですね。
(´д`;)
Re:Exciteのテキスト翻訳をやってみました (スコア:1, 参考になる)
反対意見→嘘、でまかせ
unproffesional:
専門外→プロフェッショナルではない
disclose:
発表→(単に)知らせる/報告(くらいの意)
ほんとに辞書そのままの羅列か?Excite?
使えんのぅ。
特に「反対意見」はないんちゃうかなぁ・・・
ホントにコレ深刻なバグなの? (スコア:2, 参考になる)
しかもプログラミング関係の事が分からない人間の書いてることなので
話半分に聞いて置いた方が良いと前置きして書くけど。
まず、何故テスト対象のMozillaに1.0rc1が無いのかと
小一時間問いつめたい気分。
一応最新のマイルストーンで
しかも2週間前にリリースされてるんだから
(彼がNetscapeに報告した4/24日から考えても1週間前)
それぐらいテストの対象に入れろ、と。
それと、果たしてローカルの情報をサーバー側が取得できるのかなあという問題。
この事に関しては既にMozillazineでは論議のタネとなってますが(「Only Local?」以下参照) [mozillazine.org]、
そりゃJavaScriptと組み合わせれば確かに取得できるんだろうけど
(IEの脆弱性だってActiveXとかJ script/VB scriptとかの組み合わせが絡んでること多いし)
ファイルの場所を狙い打ちしないと取ってこれないんではないかと。
・・・あ、でも大体同じ所にインストールするのが相場のアプリケーションの設定ファイルとか読めますね、多分・・・。
#Mozillaのprofileのディレクトリがランダムな英数字で決定されるのはやっぱり大事なことだなとも思う。
#ファイル名を「狙い打ち」しにくくなりますからね。
最後に、最近に追加されたという新しいデモンストレーションの
「Mozilla file explorer」、やってみようとしたら
100%クラッシュするのでそもそもテスト不可能なんですよ。
僕の環境はWin98se+Mozilla1.0rc1.0ですが、
WinXPとmozilla1.0rc1の組み合わせでクラッシュするという報告がMozillaZineには来てます(これは「Mozilla file explorer」の事を指しているのかどうかは明確ではないのですが)。
#やっぱり、ゼニが貰えなかったので騒いでるんじゃないかと思う今日この頃・・・。
gy0
Re:ホントにコレ深刻なバグなの? (スコア:3, 参考になる)
> ファイルの場所を狙い打ちしないと取ってこれないんではないかと。
/home/username/.ssh/{identity,id_dsa} とか /home/username/.gnupg/secring.gpg とか、username わかれば場所確定 でヤバげなものはいっぱいあるんだってば。
Re:ホントにコレ深刻なバグなの? (スコア:1)
じゃ、だめなのでしょうか?
# 無知ですいません。
まぁ、手順としては。
/etc/password
ゲット後、どれにするか決めると。
# Attn. 本人基本的にLinuxは駄目なので勘で書いております。
Re:ホントにコレ深刻なバグなの? (スコア:0)
>じゃ、だめなのでしょうか?
$HOME の環境変数にきちんとした値が入っているならいけるんじゃないでしょうか。
>/etc/password
>ゲット後、どれにするか決めると。
すなわち、root で Mozilla 使っていると。
Re:ホントにコレ深刻なバグなの? (スコア:1)
つーか、読めるからシャドーパスワードが出来たと聞いたことがあるのですが。
# 間違ってるかも。
Re:ホントにコレ深刻なバグなの? (スコア:0)
激しく /etc/shadow だと思いこんでました。
なので、
># 間違ってるかも。
間違ってません。
Re:ホントにコレ深刻なバグなの? (スコア:0)
仮に使えたなら、もっと激しい大穴になっちまいます。
小一時間 (スコア:1)
正直な話、厨房なもんでテストするスキルがないのです。
>/home/username/.ssh/{identity,id_dsa} とか /home/username/.gnupg/secring.gpg とか、username わかれば場所確定 でヤバげなものはいっぱいあるんだってば。
なるほど。
gy0
なんかFreeBSD版1.0rc1が (スコア:1)
「Mozilla file explorer」がほぼ全て(笑)のプラットフォームのMozilla1.0rc1で動かなかったのは、
たまたまXMLHttpRequestが1.0rc1では機能していなかったから、ということみたい(厨なんでよくわかんないんですが)。
参照
米国版ZDNET Netscape flaw exposes hard drives [com.com]
2ch「MozillaスレッドM10」の348 [2ch.net]
gy0
Re:ホントにコレ深刻なバグなの? (スコア:0)
Windows2000SP2(とHotfix沢山)上で、Mozilla1.0RC1+JLP1.0使ってます。
うちの環境だと、Mozilla File Explorerを表示させようとしてクラッシュするのはもちろんのこと、C:\test.txtをSniffさせようとしただけで落ちます。当然、表示させようとしたtest.txtは存在しています。
日本語環境だと再現不能なんですかね?
Re:ホントにコレ深刻なバグなの? (スコア:1)
そのへんにブン投げてあるMacOS 9.2.2(勿論ルートボリューム名は変えてある)
+Mozilla1.0rc2 (Build ID 2002043011)を入れて試したけど,何も起きませんね.
まぁ,テスト自体がMacOS9.x系を想定してないみたいだから当然だよね.
Sniffしても,一応,捜しには行くみたいだけど,クラッシュもしませんな.
IRCでのバッファオーバフローのバグも再現しないし,
リダイレクトを使ってのローカルファイル名取得も動かぬなぁ.
ま,MacOS9.x系みたいな御隠居OSはどうでもいいか....ようわからん.
Re:ホントにコレ深刻なバグなの? (スコア:1)
「file://Macintosh%20HD/test.txt」に置き換えて Sniff すると、ボリューム
直下に試験的においた test.txt をきちんと読み出されました。
環境は Mac OS 9.2.2+Netscape 6.2.1 です。
ただ、Mac OS 9 以前の場合は、起動ボリューム名が特定できない、システム
フォルダの名称だって変更可能という、かなりユーザが好き勝手にできるんで、
釣れても“外道”ばかりになるであろうことが救いです。
Re:ホントにコレ深刻なバグなの? (スコア:1)
テスト機のルートボリューム名を,仮に"molmot"としますね.
そいでもってmolmot直下にtest.txtを置いて.と.
file://molmot/test.txtと書き換えるのですな.それっ,Sniff!
....ありゃ."File not found"ですなぁ.
もうMozilla1.0rc2 (Build ID 2002043011)ではFixされちゃったんかい.
試しに取って置いてある1.0rc1 (Build ID 2002041618)でやってみると....
....おぉ.たちまちクラッシュするわ(笑)
てなわけで,最新のrc2(+MacOS9.2.2)は,少なくともこの件については
大丈夫.ってことでいいのかな.
#他の2点の脆弱性ってのはどうなのだろ.ちょっとそこまで追い切れましぇん.
Re:ホントにコレ深刻なバグなの? (スコア:0)
あ、でも、Mozilla File Explorer はきちんとファイルリストを取得してくれませんでした。
# いや、取得しないならしてくれないて良いんだけど。:-P
sniff もちゃんと動きますねぇ。
ちなみに、当方、Win2000 (パッチいっぱい) + Mozilla 0.9.9 です。
Re:ホントにコレ深刻なバグなの? (スコア:0)
#88738のACです。
ご報告多謝。ただ、自分もgy0氏もMozilla1.0RC1がバク報告のリストに挙がってないけど、どうなのよ? 再現すんの? って言うお話しをしてるんですが。
Mozilla0.9.9とかNetscape6.2.1で再現可能なのは先刻承知です。
#88765のawajiya氏のコメント見ると、1.0RC1ではクラッシュするという認識でいいのかなぁ…
Re:ホントにコレ深刻なバグなの? (スコア:2, 参考になる)
念のため確認すると,試したサンプルのあるURIは,
http://sec.greymagic.com/adv/gm001-ns/ [greymagic.com]
フリーズでもハングでもない,一瞬でクラッシュ.です.
数度試して,再現性あり.テスト機のMacOS9では“Type 2 Error”で落ちます.
ま,落ちてくれれば,ファイルを奪われることもないのかも(笑)
仰せの通り,元記事のテスト環境は,Netscape6.2.1はともかく,
Mozilla0.9.9ってのは,報告時期を考えてみると,少しだけオブソリートですね.
Re:ホントにコレ深刻なバグなの? (スコア:1)
先のポストでワタシは,Mozilla1.0rc2 (Build ID 2002043011)って書いてますが,
これは,about画面で出てくる表記を適当に端折って書いたです.
RC2のリリースがあったかどうかは未確認っす.
ま,Mac版の昨日時点でのlatest build と解釈して下さいませ.
それにしても,さすがに対処が速いよなぁ.えらいぞ>Mozilla.
新たな発見により深刻度が上昇 (スコア:2)
さきほど GrayMagic SoftwareからBUGTRAQに流された追加報告 [securityfocus.com] によると、この脆弱性は、既知のパス名のファイルを読み取れるというだけでなく、ディレクトリのファイル一覧も取得できてしまうのだそうだ。ここに新しいデモ、その名も「Mozilla Disk Explorer」 [greymagic.com]が提供されている。これは致命的だ。もはや、「ユーザ名が予想できなければ安心」とか、「ランダムなディレクトリ名なので安心」とか言っていられない。
そういえば、Netscapeの「file:///...」は伝統的に、ディレクトリ名を指定するとファイル一覧のデータが返ってくるのでしたね。 Brown Orifice のときもそうだったわけで。
とうの昔にFIXEDなんですが。 (スコア:2)
・・・その「安心」を強調してた人間なんで反論できる立場ではないのですが、
もうこのバグはMozillaではFIXされてますよ。(Netscape6.Xはまだですが・・・)他のコメント読みました??
それを敢えて無視するかのように
「これは致命的だ」っていうのはいかがなものかと。
僕の手元のWin版1.0ブランチ、ビルド番号2002050106で、
新しいデモも旧いデモも動作しません。
gy0
Re:とうの昔にFIXEDなんですが。 (スコア:1)
御意 (スコア:1)
#ただし、その「さきほど流れてきた情報」は5月1日段階で既に公開されていたぞと負け惜しみを言っておくことにする(苦笑)。
gy0
さらにふたつのバグが報告されました。(IRC:ハンドラB (スコア:0)
http://online.securityfocus.com/archive/1/270249/2002-04-27/2002-05-03/0
irc: の方は http://bugzilla.mozilla.org/show_bug.cgi?id=141375 です。
再配布されたものを使っているエンドユーザは対処でき (スコア:0)
mozilla.org は Mozillaを開発者向けに公開していて、mozilla.org の
活動に参加している人は fixed な nightly を入手し既に脅威から
開放されていることかと思いますが(あるいは入手してなくても
活動に参加しているくらいなら、情報は掴んでいるでしょうねと期待)
さて、Linuxディストリビューションなどに収録された Mozilla を
使っているエンドユーザは、この問題に気づいたり(nightlyに切り
替えるか Mozillaの使用を中断するなどの)対処ができたのでしょう
か?
そのような場合は、mozilla.org の成果を利用したディストリビュー
ション製作側が何らかのアクションを取ることを期待したいところ
ですが、そのあたりどんな感じなんでしょ?
#もじら組はセキュリティ情報を発信して欲しいなと思ってみたり。