SNS Advisory No.43
PGP Keyserver Permissions Misconfiguration

Problem first discovered: 3 Aug 2001
Published: 28 Sep 2001

概要：
Network Associates社のPGP Keyserverの管理設定の為のWebインターフェースに、管理者パスワード認証を経る事無しに設定が出来てしまうセキュリティホールを発見しました。

問題：
Network Associates社のPGP Key Serverは、管理設定用のWebインターフェースを使用して各種設定を行います。管理設定用のWebインターフェースは管理者名とパスワードによる認証が必要です。
しかし、認証無しに設定を変更できるセキュリティホールが存在しました。認証を経て設定を変更する場合のURLは以下のようなものです。

https://server.name/keyserver/cgi-bin/console.exe?page_size=...
https://server.name/keyserver/cgi-bin/cs.exe?action=...

ところが、以下のURLを用いると認証は必要ありません。

https://server.name/cgi-bin/console.exe?page_size=...
https://server.name/cgi-bin/cs.exe?action=...

認証を必要とするべき全ての設定が、認証無しに行えます。

Fig1.認証無しに設定変更が完了した例

問題を確認したバージョン：
PGP Keyserver 7.0 for Windows NT ver.7.0

日本ネットワークアソシエイツ（株）では現在のところKeyserver 7.0は発売しておりません。

問題を確認したOS：
Windows 2000 Server + SP2[English]

対策情報：
Network Associates社より、この問題の修正方法が公開されています。
http://www.pgp.com/support/product-advisories/keyserver.asp

発見者：
三輪信雄（LAC）　n-miwa@lac.co.jp

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/43.html