au by KDDI 開発者向け技術情報はこちら EZfactory

ヘルプ | サイトマップ

EZfactoryサイト内検索

WEBページ マルチメディア・コンテンツ 技術情報 ダウンロード
技術情報
機種別情報一覧

JPEGコンバータ

GIF画像

ランチャーアイコン

バーコード

絵文字

ダウンロードCGI

EZムービー

EZアプリ (J)

オープンアプリ

簡易位置情報

IPアドレス帯域

デコレーションメール

そのほかの技術情報

auケータイクーポン



サンプルプログラムのセキュリティに関する重要なお知らせ


戻る

当ホームページにて配布しておりましたサンプルプログラム: ダウンロードCGIに「ディレクトリトラバーサルの脆弱性」に該当するセキュリティ上の脆弱性があることを確認しました。

この問題を予防するためのプログラムとして、「ダウンロードCGIセキュリティ対策版」をご用意致しました。
お手数をおかけしますが、当サイトより配布しておりました「ダウンロードCGI」をご利用のお客さまは、早急に「ダウンロードCGIセキュリティ対策版」をダウンロードの上、運営されているサイトのCGIの改修など予防措置をとってくださいますようお願い申し上げます。

この問題による危険性

当サイトより配布しておりました「ダウンロードCGI」を利用してサイトを構築した場合、遠隔の第三者により、「ダウンロードCGI」が設置されているコンピュータ内のファイルを認証なしで閲覧される可能性があります。その結果、機密情報の漏えいが発生する可能性があります。

予防方法

「ダウンロードCGIセキュリティ対策版」を提供致します。このサンプルCGIにてサイトを構築していただくか、「ダウンロードCGI」を用いてすでにサイトを構築されている方は、「ダウンロードCGIセキュリティ対策版」への置き換えを実施してください。

注意事項

「ダウンロードCGIセキュリティ対策版」ではセキュリティ対策として、name=で指定するダウンロードデータファイル名に「スラッシュ「/」(0x2F)」の使用を制限しています。配布済みのサンプルCGIをお使いの場合で、別ディレクトリのファイルパスを指定してサイトを構築されているような場合には、CGIと同一ディレクトリにダウンロードファイルを置くようにしてください。
本サンプルコードはセキュリティ対策として、サンプルコード本体が置かれたディレクトリ以外のディレクトリに置かれたファイルへのアクセスを禁止するように作成していますが、Ver1.2以前のサンプルコードでは英数字 (大文字小文字) および記号3つ (「-」「_」「.」) のみで構成される同一ディレクトリ下のすべてのファイルのダウンロードが可能となっています。
このため、ダウンロード実行時のパラメータの設定によっては、ダウンロードCGI本体を含め、同一ディレクトリに存在するファイルを参照されてしまう恐れがあります。
本スクリプトを設置する同一ディレクトリ内にはアクセスして欲しくないファイルをおかないようにしてください。やむを得ず、アクセスして欲しくないファイルをおく場合は、アクセスできないようにコードを書き換えて新たな対策を施す必要があります。本サンプルコードを使用してサイトを構築される場合には、環境に応じて適切なセキュリティ対策を取ってください。

ダウンロードCGI (Ver1.3) リリースのお知らせ (2007/12/26)

Ver1.3では下記の修正を行いました。ただし、Ver1.2以前と同様に同一ディレクトリ下のファイルが参照できることに変わりはありませんので、README.txtを参照の上、適切な設定を行ってください。

ダウンロードCGI本体が参照できないように、ダウンロードCGIの本体ファイル名がパラメータに含まれた場合にアクセスを拒否するようにしました。
ダウンロードCGIと同一ディレクトリに存在するファイルを参照できないように、CGI内に参照して欲しくないファイル名を記載することで、記載したファイルへのアクセスを拒否できるようにしました。詳しい使用方法はサンプルコード付属のREADME.txtをご覧ください。

ダウンロードCGI (Ver1.4) リリースのお知らせ (2008/2/28)

Ver1.4では下記の修正を行いました。

ダウンロード失敗時にテスト用の空ファイルtest.txtを出力するケースがありましたので、原因となっていたテスト用のコードを削除しました。

ダウンロードCGI (Ver1.5) リリースのお知らせ (2011/9/28)

Ver1.5では下記の修正を行いました。

11年秋冬以降のHDML非サポートEZブラウザに対応するため、HDMLではなくXHTMLを使用するようにしました。既存の機種でも使用可能です。(セキュリティに関する変更はありません。)

ダウンロードCGIサンプルプログラム セキュリティ対策修正版 Ver1.5 (perl)
12KB

戻る

このページの先頭へ




Designing The Future KDDI
au 電話・インターネット 法人サービス 会社情報
  ここから当ウェブサイトの情報についてのメニューです。
免責事項 リンクについて 推奨環境 プライバシーポリシー Copyright © KDDI CORPORATION. All Rights Reserved.