Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM
X-Mailer: Winbiff [Version 2.31 beta2 (on Trial)]
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-2022-jp
Message-ID:  <200002020841.BGJ04625.JNB-OX@lac.co.jp>
Date:         Wed, 2 Feb 2000 08:41:47 +0900
Reply-To: Nobuo Miwa <n-miwa@LAC.CO.JP>
Sender: BUGTRAQ-JP List <BUGTRAQ-JP@SECURITYFOCUS.COM>
From: Nobuo Miwa <n-miwa@LAC.CO.JP>
Subject:      RecyclerSnooper(MS00-007)
X-To:         BUGTRAQ-JP@SECURITYFOCUS.COM
To: BUGTRAQ-JP@SECURITYFOCUS.COM

三輪です。

大した脅威ではないのですが、下記の問題点を発見、MSに報告しました。

あるユーザ("user1")の SID が
    S-1-5-21-823518204-813497703-1708537768-1004,
だったとすると
    S-1-5-21-823518204-813497703-1708537768-1001
    S-1-5-21-823518204-813497703-1708537768-1002
    S-1-5-21-823518204-813497703-1708537768-1003
    ...
    ...
    S-1-5-21-823518204-813497703-1708537768-1199
    S-1-5-21-823518204-813497703-1708537768-1200
のようなフォルダをごみ箱の下にいっぱい先に作ってしまうことによって
ユーザのごみ箱を覗くことが出来るようになります。

検証用のプログラムは、
http://www.lac.co.jp/security/test/files/RecyclerSnooper.exe
にあります。パラメータは "RecyclerSnooper.exe 200 C".
もし次のユーザ("user2", SID=...1006)がまだ一度もごみを捨ててなけ
れば、先にごみ箱を用意したユーザによって覗くことが可能になります。
この問題は、ごみ箱の直下に誰でもフォルダを作れるということと、ユー
ザが最初にごみを捨てるまでユーザ用のごみ箱が作られないということと、
ごみ箱の名前が予想できてしまう、というところに問題があります。

この問題はMSに昨年10月31日に届けましたので、3ヶ月以上も待ったこと
になります。ちなみに、報告した時点で、Arne VidstromもMSに同じ頃に
報告を出しており、二人で仲良く待ってました。

<Nobuo Miwa> n-miwa@lac.co.jp      ( @ @ ) http://www.lac.co.jp/security/
------------------------------o00o--(. .)--o00o--------------------------