Analog: セキュリティ 警告

セキュリティ 勧告                                        2002年5月14日
----------------------------------------------------------------------
プログラム：analog フォームインタフェース、anlgform.pl
バージョン：5.23より以前のすべて
OS：すべて
型：DoS=Denial of Service（ディスクスペース）
----------------------------------------------------------------------
この勧告は、フォームインタフェースをインストールし、不特定多数の信頼で
きない人たちにアクセスを許可している「ユーザにのみ」影響があります。い
ずれにせよ、上記のように不特定多数にアクセスを許可するのは、通常よい設
定ではないことに注意してください。あなたのシステム上で、CPUパワーを消費
するプログラムを走らせることができる不特定多数の信頼できない人たちにとっ
て、他の容易なDoS攻撃プログラムがありますし、この勧告はそのことにまで言
及するものではありません。

anlgform.plは、AnalogのCGIフロントエンドであり、Webフォームから制御する
ものです。セキュリティに事前に配慮して、anlgformは、不特定多数の信頼で
きないユーザに使用できないようにすべきある種のコマンドを、analog本体に
渡すのを拒否しています。

5.23以前のバージョンでは、この禁止リストに載せるべき1つのコマンドが、
デフォルトのプログラムインストールの際に抜けていました。PROGRESSFREQ
コマンドは、analogによる処理進行状況の定期的アップデートをstderr（標準
エラー出力）に出力することを許可します。もし不特定多数の信頼できない人
たちがこのコマンドを使うことができると、頻繁にアップデートを設定するよ
うにでき、その結果Webサーバをエラーログで一瞬のうちにいっぱいにしてしま
います。典型的なコンピュータでは、このため、他のメッセージが他のどのシ
ステムログファイルにも書き込めなくなってしまい、別の攻撃があったとして
も、それも分からなくなってしまいます。

弱点があるとされるユーザは、anlgform.plをこれら信頼できない人たちにも
使用できるようにすべきかどうか考慮することを勧告します。もし使用できる
ようにしたいなら、直ちにanalog Ver.5.23にアップグレードすることを勧め
ます。AnalogのURLは、以下のとおりです。
  http://www.analog.cx/

                                                        Stephen Turner
                                         analog-author＠lists.isite.net