サイトマップ
戻る
当ホームページにて配布しておりましたサンプルプログラム: ダウンロードCGIに「ディレクトリトラバーサルの脆弱性」に該当するセキュリティ上の脆弱性があることを確認しました。
この問題を予防するためのプログラムとして、「ダウンロードCGIセキュリティ対策版」をご用意致しました。
お手数をおかけしますが、当サイトより配布しておりました「ダウンロードCGI」をご利用のお客さまは、早急に「ダウンロードCGIセキュリティ対策版」をダウンロードの上、運営されているサイトのCGIの改修など予防措置をとってくださいますようお願い申し上げます。
■
この問題による危険性
当サイトより配布しておりました「ダウンロードCGI」を利用してサイトを構築した場合、遠隔の第三者により、「ダウンロードCGI」が設置されているコンピュータ内のファイルを認証なしで閲覧される可能性があります。その結果、機密情報の漏えいが発生する可能性があります。
■
予防方法
「ダウンロードCGIセキュリティ対策版」を提供致します。このサンプルCGIにてサイトを構築していただくか、「ダウンロードCGI」を用いてすでにサイトを構築されている方は、「ダウンロードCGIセキュリティ対策版」への置き換えを実施してください。
注意事項
「ダウンロードCGIセキュリティ対策版」ではセキュリティ対策として、name=で指定するダウンロードデータファイル名に「スラッシュ「/」(0x2F)」の使用を制限しています。配布済みのサンプルCGIをお使いの場合で、別ディレクトリのファイルパスを指定してサイトを構築されているような場合には、CGIと同一ディレクトリにダウンロードファイルを置くようにしてください。
本サンプルコードはセキュリティ対策として、サンプルコード本体が置かれたディレクトリ以外のディレクトリに置かれたファイルへのアクセスを禁止するように作成していますが、Ver1.2以前のサンプルコードでは英数字 (大文字小文字) および記号3つ (「-」「_」「.」) のみで構成される同一ディレクトリ下のすべてのファイルのダウンロードが可能となっています。
このため、ダウンロード実行時のパラメータの設定によっては、ダウンロードCGI本体を含め、同一ディレクトリに存在するファイルを参照されてしまう恐れがあります。
本スクリプトを設置する同一ディレクトリ内にはアクセスして欲しくないファイルをおかないようにしてください。やむを得ず、アクセスして欲しくないファイルをおく場合は、アクセスできないようにコードを書き換えて新たな対策を施す必要があります。本サンプルコードを使用してサイトを構築される場合には、環境に応じて適切なセキュリティ対策を取ってください。
ダウンロードCGI (Ver1.3) リリースのお知らせ (2007/12/26)
Ver1.3では下記の修正を行いました。ただし、Ver1.2以前と同様に同一ディレクトリ下のファイルが参照できることに変わりはありませんので、README.txtを参照の上、適切な設定を行ってください。
ダウンロードCGI本体が参照できないように、ダウンロードCGIの本体ファイル名がパラメータに含まれた場合にアクセスを拒否するようにしました。
ダウンロードCGIと同一ディレクトリに存在するファイルを参照できないように、CGI内に参照して欲しくないファイル名を記載することで、記載したファイルへのアクセスを拒否できるようにしました。詳しい使用方法はサンプルコード付属のREADME.txtをご覧ください。
ダウンロードCGI (Ver1.4) リリースのお知らせ (2008/2/28)
Ver1.4では下記の修正を行いました。
ダウンロード失敗時にテスト用の空ファイルtest.txtを出力するケースがありましたので、原因となっていたテスト用のコードを削除しました。
ダウンロードCGI (Ver1.5) リリースのお知らせ (2011/9/28)
Ver1.5では下記の修正を行いました。
11年秋冬以降のHDML非サポートEZブラウザに対応するため、HDMLではなくXHTMLを使用するようにしました。既存の機種でも使用可能です。(セキュリティに関する変更はありません。)
12KB
ダウンロード
戻る
