■ Multiple Vendor HTTP User Agent Cookie Path Traversal Issue

RFC2965に欠陥があるので多くのブラウザに脆弱性があるということ?だとしたらエライこっちゃ。メモメモ。ううむわからん。教えて偉い人。といいますか、クッキーのパスのトラバーサルって何?ディレクトリトラバーサルならイメージしやすいのですが。

securiteam.com:Multiple Vendor HTTP User Agent Cookie Path Traversal Issue より。

Summary

The cookie specifications detail a path argument that can be used to restrict the areas of a host that will be exposed to a cookie. By using standard traversal techniques this functionality can be subverted, potentially exposing the cookie to scrutiny and use in further attacks.

komuraさんのコメントのおかげを持ちまして意味がわかりました。ありがとうございます。>komuraさん。

それはそうと、これはブラウザ側で対処すべき問題なのかサーバ側で対処すべきなのか、そしてご紹介のMozillaは対策済みだそうですが他のブラウザではどうだったのか、など全然わかりませんです。(はずかしい。)仮にまだ未修正ならかなりとんでもないことだと思います。

komuraさんから追加情報を頂きました。ありがとうございます。

# komura
http://secunia.com/advisories/9680/ によると、Opera 7 beta 20 以降、KDE / Konqueror 3.1.4 以降で修正と書かれています。IE については書かれていないので分かりませんが。

なるほど、javascriptが使えてDOMをコントロールできそうなブラウザは全てサーバサイドから与えられるクッキーの偽のパスに騙されないようにしなくてはいけないということですね。safariとかも対象でしょうし、シェアの大きいIEも。

うーん、こんな理解でいいのでしょうか。http://寄り合い所帯.tld/~A商店/の利用者が狙われたとすると、悪人はhttp://寄り合い所帯.tld/~B泥棒/において一見無害なコンテンツを用意しておいて/~A商店/のパスであるかのごとく詐称して~A商店/用のcookieを被害者のブラウザから吸い出してしまい、別途用意してある記録用のサイトCにそのデータを投げることが出来る。うーん。実験したくとも出来ないなぁ。想像ですけれど、これらは全部ステルスで出きるでしょうね。ユーザが気がつくとは考えられません。テキストメールでもいいからスパムを多量に投げておいて一見無害なサイトDに誘導することは可能。Dでは、訪問者が/~A商店/に行った事があると履歴に残っているユーザ【のみ】にスクリプト起動してコンテンツ明示のない/~B泥棒/にリダイレクト。cookie吸い上げ。駄目。やはり実験しないと理解できた気がしません。

日本では、まだまだ、http://寄り合い所帯.tld/~A商店/なところで個人情報を含んだ電子情報の取引を行っているところがいっぱいありますからねぇ。結構危険度高いとは思いますが。

またまた貴重な情報を頂戴いたしました。本当に有難うございます。

# komura
『少し長くなるのですが、私の理解している範囲で書いてみます。Mozilla の場合、Cookie には、Domain、Content、Path、Name、Servier Secure、Expires という情報を持つようです。Domain が同じでも、Path に値を設定すると、アクセスしたディレクトリが Cookie の Path にマッチしない場合は Cookie を読み出すことはできないようになっていると思いますが、http://example.com/user1/%2e%2e/user2/ という形式でアクセスすると、実際には、http://example.com/user2/ にアクセスするのと同じことになりますが、/user2/ 以下にある CGI から Cookie の Path に /user1/ と入っている、本来アクセスできないはずの Cookie 情報にアクセスすることが可能になってしまうことが問題とされているのだと思います。とりあえず、IE 6 の最新の修正パッチを適用したバージョンで試してみましたが、この問題が存在するようです。また、Netscape 7.1 (ベースは Mozilla 1.4)でも試してみましたが、この問題が再現することを確認しました。』

komuraさんの、Multiple Browser Cookie Path Directory Traversal Vulnerability(http://www.asahi-net.or.jp/~wv7y-kmr/note/2004-03.html#YMD20040314_Cookie)のまとめは必読です。素晴らしいです。傾聴。以下に一部だけ抜粋させていただきます。

この問題は、Mozilla 1.4.1 以降、Opera 7.20 beta 7、KDE/Konqueror 3.1.4 以降のブラウザで修正されているという情報がありますが、Internet Explorer 5/6 や、Netscape 7.1 などでは、修正されていないようです。

特に問題となるのは、一つのドメイン名を複数のユーザが共用する CGI サーバで、セッション情報などの重要な情報を Cookie で扱っている場合です。掲示板などを利用して、%2e%2e が含まれたリンクを設置し、Cookie を読み取る CGI スクリプトをユーザに実行させることで別の Path 設定が行われている Cookie 情報を取得することが可能になります。場合によっては、セッションハイジャックなども可能だと思います。

(hoshikuzuにより中略)

ユーザがこの問題は回避する方法としては、問題が既に修正されているブラウザ(MozillaOpera の最新版など)を使用するというのが一番良いと思います。多くのユーザが使用している Internet Explorer で問題が修正されていませんので、Cookie を無効に設定したり、共用 CGI サーバでフォームの入力などは行わないなどの自衛手段を行えば、多くの場合は問題を回避できると思います。

うーん、Mozilla1.4系なNetscape最新版とかは駄目みたいですね。修正が遅い感じが従来からありましたが。

■Liu Die Yu have received the laptop

寄付が集まったおかげでLiu Die Yu have received the laptopを見るとひどく嬉しそう。でもマウスないのかなぁ。どこでもドアがあったらひとつあげるのに。

ところでこの周辺をウロウロしていたら、とあるページに突入、その瞬間私の機械のクリップボードの内容が画面に表示されていたんですけど。こんなバグあったっけかなぁ。(汗)勉強不足。

クリップボードの件、WinIE:クリップボードの中身漏洩にて追記しました。