パスワードを忘れた? アカウント作成
2911 story

Netscape/Mozillaにローカルファイル読みとりの脆弱性 40

ストーリー by wakatono
増える他山の石 部門より

jbeef曰く、"4月30日にBUGTRAQに投稿された記事によると、 Netscape 6およびMozillaにローカルファイルの読み出しが可能なセキュリティホールがあるとのこと。 この欠陥は、MS02-008で修正されたIEのXMLHTTPの脆弱性のときと全く同じ方法で攻撃できてしまうものだとか。 発見者のGrayMagic Softwareは、4月24日にsecurity@netscape.comとsecure@netscape.comに連絡したが返事がなかったとのこと。Netscapeは、$1,000の報奨金を出すBug Bountyプログラムを実施しているが、この発見者は、これを「The money is irrelevant, but using such a con to attract researchers into disclosing bugs to Netscape is extremely unprofessional.」と批判し、今後Netscapeの脆弱性についてはNetscapeに通知することなく公表するとし、セキュリティコミュニティの他の者にもそれを勧めるとしている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2002年05月01日 11時47分 (#88561)
    該当するのは以下の3つ。(但し、2つ目と3つ目は最初のバグに
    集約されているので実質は1つ目の #141061です)

    http://bugzilla.mozilla.org/show_bug.cgi?id=141061
    http://bugzilla.mozilla.org/show_bug.cgi?id=141208
    http://bugzilla.mozilla.org/show_bug.cgi?id=141212

    trunkへは修正が投入され、続いて 1.0.0ブランチへの投入と
    確認が行われるところです。
    • mozillaZine [mozillazine.org] によると、GrayMagic Softwareは
      そのSecurity Advisoryのページで解決方法として
      "Users of Netscape Navigator should move to a better performing, less buggy browser. "と書いています。

      腹が立ってるんですかね。

      mozillaZineのトークバックでは、lynxだ、w3mだ、いや、
      Mozillaがすでにそれにあたるものだ、などという意見が
      出てます。
      --

      - Ryuzi Kambe -
      親コメント
    • 最初の報告にあった問題は解決しました。

      http://bugzilla.mozilla.org/show_bug.cgi?id=141061

      trunk, 1.0.0branch の両方に修正が加えられました。
      元報告者の http://sec.greymagic.com/adv/
      でも Status: Patched です。
      たぶん 2002/5/1 の 8時辺り以降のビルドなら fixed
      なんじゃないかと思います。
      • >たぶん 2002/5/1 の 8時辺り以降のビルドなら fixed
        >なんじゃないかと思います。

        Build ID: 2002050108 にて、explorerもsnifも問題無し
        (再現しません)でした。OS:WinNT4.0WS-4.00.1381です。
        ご報告ありがとうございます。
  • by limbo (6813) on 2002年05月01日 12時26分 (#88575) 日記
    「カネなんかどうでもいい、そんな甘言でリサーチャーを釣ってネットスケイプのためにバグを発見させるなんて、プロの風上にもおけない!」
    • by Technical Type (3408) on 2002年05月01日 12時43分 (#88586)
      及び、Bug Bountyプログラムを実施しておきながら、4月24日に連絡したのに返事もしないんじゃ、ウソつきというか、バグの管理なんか全然できてないですね。「報告したんだから、金はともかく、さっさと誠意をもって改善しろ!」という所じゃないですか?
      親コメント
      • まあ、たんに元の英文を日本語化しただけなんですけどね。はっきりいって、短気すぎて個人的には賛成できない考え方ですし。

        それより、Netscape にバグ報告するのと Mozilla プロジェクトに報告するのは別窓口になっているのかな。テストは Mozilla でもやってるんだよね。
        親コメント
        • Netscape が Netscapeの名でリリースしているのは Netscape 6で
          mozilla.org が mozilla.org の名でリリースしているのは Mozilla
          ですよね。

          Netscape 6 は Mozilla の派生製品ですので、例えばFooという会社の
          Foo-Linux というディストリビューションをベースにした Barという
          会社の Bar-Linuxというディストリビューションがあったとして、
          Barは Bar-Linux を開発する上でFoo-Linuxへの寄与を行っていると
          します。そこで Foo-Linuxに由来するバグが Foo-LinuxとBar-Linuxの
          両方に見つかった場合、Fooと Barの両方に連絡するんじゃないで
          しょうか。(Foo-Linuxを
          • ううん、元記事を読む限りだと、ネットスケイプの方に連絡しただけにみえる。だとしたら、即応性を期待するなら Mozilla にタレこんだ方がよかったのにね、ってことなのかな。

            あと、Galeon はどうなってる?名前があがってこないけど。
            親コメント
          • <offtopic>

            Netscape と Mozilla の関係といえば、Borland の InterBaseと
            Firebird の関係をたとえるのに Netscape と Mozilla をあげる
            文書を見かける。ここ数日で見た雑誌にもあったように思う。

            確かに企業とオープンソースコミュニティという2要素は一緒だけど
            Netscape は mozilla.org の活動に参加しコミュニティの一員として
            mozilla を作り、それをもとにNetscape 6を作成している一方、
            Borland の InterBase と Firebird はそうじゃないんだよね。

            Borland の InterBase と Firebird はオープンソースプロジェクトの
            成果であるかどうかの視点で言え
    • by Anonymous Coward on 2002年05月01日 13時36分 (#88605)
      いや、むしろ私はその文面から
      「せっかく金がもらえると思ったのに嘘だったなんて
       ネスケそれでもプロかよ?
       さっさと金よこせ」

      と読んだのですが・・・

      金がもらえると思って嬉々としてバグ探ししてる
      彼の姿を想像してました。
      親コメント
      • 「お金目当て」にたいしての批判なのでしょうか?
        もしお金目当てだったとしても、それを批判する
        ことはちょっとおかしいかと。

        私は、お金を得るために会社と契約して仕事をしてます。
        もし会社が約束をやぶって給料をくれなかったら....?
        • えー、元ACです。

          「お金は関係ない」 money is irrelevant
          といってるのに、Mozillaコミュニティには知らせないで
          Netscapeにいの一番に知らせたとことを
          皮肉ってるだけです。

          大ぴらに「金くれ」っていうぶんにはいたってまともじゃないですかねぇ。
          私なら「金くれ」そう言いますって
          # もしくは"money is irrelevant"なんて書かない
          • "The money is irrelevant"だけではいいかっこしすぎだけど、
            「お金を期待していたのは確かだけど、なんかもうそれ以前の部分で腹が立っちまった。金よこせとまでとはいわないが、もうちょっとまともな対応したらどうなの?」
            といった感じなんでしょうね。
            --
            うじゃうじゃ
            親コメント
    • http://www.excite.co.jp/world/text/ で翻訳した結果。

      「金銭は無関係です。しかし、ネットスケープにバグを発表することへ研究者を引きつけるためにそのような反対意見を使用することは非常に専門外です。」

      後半が変ですね。
      --
      (´д`;)
      • by Anonymous Coward on 2002年05月01日 14時36分 (#88620)
        con:
        反対意見→嘘、でまかせ

        unproffesional:
        専門外→プロフェッショナルではない

        disclose:
        発表→(単に)知らせる/報告(くらいの意)

        ほんとに辞書そのままの羅列か?Excite?
        使えんのぅ。

        特に「反対意見」はないんちゃうかなぁ・・・
        親コメント
  • by gy0 (3393) on 2002年05月01日 19時54分 (#88736) 日記
    個人的にMozillaにベタ惚れしてて、
    しかもプログラミング関係の事が分からない人間の書いてることなので
    話半分に聞いて置いた方が良いと前置きして書くけど。

    まず、何故テスト対象のMozillaに1.0rc1が無いのかと
    小一時間問いつめたい気分。
    一応最新のマイルストーンで
    しかも2週間前にリリースされてるんだから
    (彼がNetscapeに報告した4/24日から考えても1週間前)
    それぐらいテストの対象に入れろ、と。

    それと、果たしてローカルの情報をサーバー側が取得できるのかなあという問題。
    この事に関しては既にMozillazineでは論議のタネとなってますが(「Only Local?」以下参照) [mozillazine.org]、
    そりゃJavaScriptと組み合わせれば確かに取得できるんだろうけど
    (IEの脆弱性だってActiveXとかJ script/VB scriptとかの組み合わせが絡んでること多いし)
    ファイルの場所を狙い打ちしないと取ってこれないんではないかと。
    ・・・あ、でも大体同じ所にインストールするのが相場のアプリケーションの設定ファイルとか読めますね、多分・・・。

    #Mozillaのprofileのディレクトリがランダムな英数字で決定されるのはやっぱり大事なことだなとも思う。
    #ファイル名を「狙い打ち」しにくくなりますからね。

    最後に、最近に追加されたという新しいデモンストレーションの
    「Mozilla file explorer」、やってみようとしたら
    100%クラッシュするのでそもそもテスト不可能なんですよ。
    僕の環境はWin98se+Mozilla1.0rc1.0ですが、
    WinXPとmozilla1.0rc1の組み合わせでクラッシュするという報告がMozillaZineには来てます(これは「Mozilla file explorer」の事を指しているのかどうかは明確ではないのですが)。

    #やっぱり、ゼニが貰えなかったので騒いでるんじゃないかと思う今日この頃・・・。
    --
    gy0
    • by kjm (1606) on 2002年05月01日 20時13分 (#88737) ホームページ
      問い詰める暇があったらテストしてここに書き込んでほしい。

      > ファイルの場所を狙い打ちしないと取ってこれないんではないかと。

      /home/username/.ssh/{identity,id_dsa} とか /home/username/.gnupg/secring.gpg とか、username わかれば場所確定 でヤバげなものはいっぱいあるんだってば。
      親コメント
      • ~/~~~
        じゃ、だめなのでしょうか?
        # 無知ですいません。

        まぁ、手順としては。

        /etc/password
        ゲット後、どれにするか決めると。
        # Attn. 本人基本的にLinuxは駄目なので勘で書いております。
        親コメント
      • by gy0 (3393) on 2002年05月02日 0時46分 (#88818) 日記
        >問い詰める暇があったらテストしてここに書き込んでほしい。

        正直な話、厨房なもんでテストするスキルがないのです。

        >/home/username/.ssh/{identity,id_dsa} とか /home/username/.gnupg/secring.gpg とか、username わかれば場所確定 でヤバげなものはいっぱいあるんだってば。

        なるほど。
        --
        gy0
        親コメント
    • by gy0 (3393) on 2002年05月02日 21時35分 (#89169) 日記
      テスト対象に加わってるしぃ(笑)

      「Mozilla file explorer」がほぼ全て(笑)のプラットフォームのMozilla1.0rc1で動かなかったのは、
      たまたまXMLHttpRequestが1.0rc1では機能していなかったから、ということみたい(厨なんでよくわかんないんですが)。
      参照
      米国版ZDNET Netscape flaw exposes hard drives [com.com]
      2ch「MozillaスレッドM10」の348 [2ch.net]
      --
      gy0
      親コメント
    • Windows2000SP2(とHotfix沢山)上で、Mozilla1.0RC1+JLP1.0使ってます。

      うちの環境だと、Mozilla File Explorerを表示させようとしてクラッシュするのはもちろんのこと、C:\test.txtをSniffさせようとしただけで落ちます。当然、表示させようとしたtest.txtは存在しています。

      日本語環境だと再現不能なんですかね?

      • 一般的なテスト環境でなくてアレなんですが,興味本位で....
        そのへんにブン投げてあるMacOS 9.2.2(勿論ルートボリューム名は変えてある)
        +Mozilla1.0rc2 (Build ID 2002043011)を入れて試したけど,何も起きませんね.
        まぁ,テスト自体がMacOS9.x系を想定してないみたいだから当然だよね.
        Sniffしても,一応,捜しには行くみたいだけど,クラッシュもしませんな.

        IRCでのバッファオーバフローのバグも再現しないし,
        リダイレクトを使ってのローカルファイル名取得も動かぬなぁ.
        ま,MacOS9.x系みたいな御隠居OSはどうでもいいか....ようわからん.
        親コメント
        •  起動ディスクの名称が“Macintosh HD”であれば、「file://c:/test.txt」を
          「file://Macintosh%20HD/test.txt」に置き換えて Sniff すると、ボリューム
          直下に試験的においた test.txt をきちんと読み出されました。
           環境は Mac OS 9.2.2+Netscape 6.2.1 です。

           ただ、Mac OS 9 以前の場合は、起動ボリューム名が特定できない、システム
          フォルダの名称だって変更可能という、かなりユーザが好き勝手にできるんで、
          釣れても“外道”ばかりになるであろうことが救いです。
          親コメント
          • ナルホド納得.それでは早速やってみよう....
            テスト機のルートボリューム名を,仮に"molmot"としますね.
            そいでもってmolmot直下にtest.txtを置いて.と.
            file://molmot/test.txtと書き換えるのですな.それっ,Sniff!

            ....ありゃ."File not found"ですなぁ.
            もうMozilla1.0rc2 (Build ID 2002043011)ではFixされちゃったんかい.
            試しに取って置いてある1.0rc1 (Build ID 2002041618)でやってみると....

            ....おぉ.たちまちクラッシュするわ(笑)
            てなわけで,最新のrc2(+MacOS9.2.2)は,少なくともこの件については
            大丈夫.ってことでいいのかな.

            #他の2点の脆弱性ってのはどうなのだろ.ちょっとそこまで追い切れましぇん.
            親コメント
      • きちんと動いてますけど...。
        あ、でも、Mozilla File Explorer はきちんとファイルリストを取得してくれませんでした。

        # いや、取得しないならしてくれないて良いんだけど。:-P

        sniff もちゃんと動きますねぇ。
        ちなみに、当方、Win2000 (パッチいっぱい) + Mozilla 0.9.9 です。
        • #88738のACです。

          ご報告多謝。ただ、自分もgy0氏もMozilla1.0RC1がバク報告のリストに挙がってないけど、どうなのよ? 再現すんの? って言うお話しをしてるんですが。

          Mozilla0.9.9とかNetscape6.2.1で再現可能なのは先刻承知です。

          #88765のawajiya氏のコメント見ると、1.0RC1ではクラッシュするという認識でいいのかなぁ…

          • Mozilla1.0RC1がバク報告のリストに挙がってないけど、どうなのよ?
            ちと手が空いたんで,再試しましたよ>1.0rc1 (Build ID 2002041618)
            念のため確認すると,試したサンプルのあるURIは,
            http://sec.greymagic.com/adv/gm001-ns/ [greymagic.com]
            フリーズでもハングでもない,一瞬でクラッシュ.です.
            数度試して,再現性あり.テスト機のMacOS9では“Type 2 Error”で落ちます.
            ま,落ちてくれれば,ファイルを奪われることもないのかも(笑)

            仰せの通り,元記事のテスト環境は,Netscape6.2.1はともかく,
            Mozilla0.9.9ってのは,報告時期を考えてみると,少しだけオブソリートですね.
            親コメント
            • 追記しときます.
              先のポストでワタシは,Mozilla1.0rc2 (Build ID 2002043011)って書いてますが,
              これは,about画面で出てくる表記を適当に端折って書いたです.
              RC2のリリースがあったかどうかは未確認っす.
              ま,Mac版の昨日時点でのlatest build と解釈して下さいませ.
              それにしても,さすがに対処が速いよなぁ.えらいぞ>Mozilla.
              親コメント
  • もうここに書いてもほとんど読まれないかもしれませんが…

    さきほど GrayMagic SoftwareからBUGTRAQに流された追加報告 [securityfocus.com] によると、この脆弱性は、既知のパス名のファイルを読み取れるというだけでなく、ディレクトリのファイル一覧も取得できてしまうのだそうだ。ここに新しいデモ、その名も「Mozilla Disk Explorer」 [greymagic.com]が提供されている。これは致命的だ。もはや、「ユーザ名が予想できなければ安心」とか、「ランダムなディレクトリ名なので安心」とか言っていられない。

    そういえば、Netscapeの「file:///...」は伝統的に、ディレクトリ名を指定するとファイル一覧のデータが返ってくるのでしたね。 Brown Orifice のときもそうだったわけで。

    • >もはや、「ユーザ名が予想できなければ安心」とか、「ランダムなディレクトリ名なので安心」とか言っていられない。

      ・・・その「安心」を強調してた人間なんで反論できる立場ではないのですが、
      もうこのバグはMozillaではFIXされてますよ。(Netscape6.Xはまだですが・・・)他のコメント読みました??

      それを敢えて無視するかのように
      「これは致命的だ」っていうのはいかがなものかと。
      僕の手元のWin版1.0ブランチ、ビルド番号2002050106で、
      新しいデモも旧いデモも動作しません。
      --
      gy0
      親コメント
      • 対応する必要性を紹介しているのですが、何か?
        ・・その「安心」を強調してた人間なんで反論できる立場ではないのですが
        まさにその通り。対応する手間と脅威の度合いを天秤にかけている人がいる。
        Netscape6.Xはまだですが・・・
        まさにその通り。普通な人(自力で調べられるわけではない人)は、MozillaよりNetscape 6を使っていることが多いでしょう。
        親コメント
        • by gy0 (3393) on 2002年05月05日 5時02分 (#89692) 日記
          なるほど。

          #ただし、その「さきほど流れてきた情報」は5月1日段階で既に公開されていたぞと負け惜しみを言っておくことにする(苦笑)。
          --
          gy0
          親コメント
  • by Anonymous Coward on 2002年05月01日 15時30分 (#88636)
    さらに二つのバグが報告されました。

    http://online.securityfocus.com/archive/1/270249/2002-04-27/2002-05-03/0

    irc: の方は http://bugzilla.mozilla.org/show_bug.cgi?id=141375 です。
  • 更にもうここに書いてもほとんど読まれないかもしれませんが

    mozilla.org は Mozillaを開発者向けに公開していて、mozilla.org の
    活動に参加している人は fixed な nightly を入手し既に脅威から
    開放されていることかと思いますが(あるいは入手してなくても
    活動に参加しているくらいなら、情報は掴んでいるでしょうねと期待)

    さて、Linuxディストリビューションなどに収録された Mozilla を
    使っているエンドユーザは、この問題に気づいたり(nightlyに切り
    替えるか Mozillaの使用を中断するなどの)対処ができたのでしょう
    か?

    そのような場合は、mozilla.org の成果を利用したディストリビュー
    ション製作側が何らかのアクションを取ることを期待したいところ
    ですが、そのあたりどんな感じなんでしょ?

    #もじら組はセキュリティ情報を発信して欲しいなと思ってみたり。
typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...