セキュリティ対策の株式会社ラック

お問い合わせ
閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
お問い合わせ

セキュリティ事故発生時はこちら

アーカイブ

PGP Keyserver Permissions Misconfiguration

2001年9月28日 | 注意喚起

SNS Advisory No.43

Problem first discovered: 3 Aug 2001
Published: 28 Sep 2001

概要

Network Associates社のPGP Keyserverの管理設定の為のWebインターフェースに、管理者パスワード認証を経る事無しに設定が出来てしまうセキュリティホールを発見しました。

問題

Network Associates社のPGP Key Serverは、管理設定用のWebインターフェースを使用して各種設定を行います。管理設定用のWebインターフェースは管理者名とパスワードによる認証が必要です。
しかし、認証無しに設定を変更できるセキュリティホールが存在しました。認証を経て設定を変更する場合のURLは以下のようなものです。

https://server.name/keyserver/cgi-bin/console.exe?page_size=...
https://server.name/keyserver/cgi-bin/cs.exe?action=...

ところが、以下のURLを用いると認証は必要ありません。

https://server.name/cgi-bin/console.exe?page_size=...
https://server.name/cgi-bin/cs.exe?action=...

認証を必要とするべき全ての設定が、認証無しに行えます。

認証無しに設定変更が完了した例
Fig1.認証無しに設定変更が完了した例

問題を確認したバージョン

PGP Keyserver 7.0 for Windows NT ver.7.0
日本ネットワークアソシエイツ(株)では現在のところKeyserver 7.0は発売しておりません。

問題を確認したOS

Windows 2000 Server + SP2[English]

対策情報

Network Associates社より、この問題の修正方法が公開されています。

http://www.pgp.com/support/product-advisories/keyserver.asp

発見者

三輪信雄(ラック)

アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

page top