by Tan Chew Keong タン チュー ケオン
Release Date: 2008-06-17
[en] [jp]
概要
UltraEdit
の FTP/SFTP Browser には、ディレクトリトラバーサルの脆弱性が存在します。悪意のある人は、この脆弱性を利用し
FTP クライアントの作業ディレクトリを越えたディレクトリにファイルを転送する事ができます。
問題を確認したバージョン
問題
UltraEdit の FTP/SFTP Browser
には、ディレクトリトラバーサルの脆弱性が存在します。悪意のある人は、この脆弱性を利用し FTP
クライアントの作業ディレクトリを越えたディレクトリにファイルを転送する事ができます。
UltraEdit の FTP/SFTP Browser は、LIST
コマンドに対するレスポンスを適切に検査しないから、ディレクトリトラバーサルの脆弱性が存在します。ユーザーが、FTP
サーバーから悪意のあるディレクトリをダウンロードしたら、攻撃者にユーザーの権限で FTP
クライアントの作業ディレクトリを越えたディレクトリに任意のファイルを作成される可能性があります。
LIST コマンドに対する悪意のあるレスポンスの例:
Response to LIST (backslash):
-rw-r--r-- 1 ftp ftp 20 Mar 01 05:37 \..\..\..\..\..\..\..\..\..\testfile.txt\r\n
Response to LIST (forward-slash):
-rw-r--r-- 1 ftp ftp 20 Mar 01 05:37 /../../../../../../../../../testfile.txt\r\n
Response to LIST (combination):
-rw-r--r-- 1 ftp ftp 20 Mar 01 05:37 ../..\/..\/..\/../..\/../..\/../testfile.txt\r\n
脆弱性のテスト
脆弱性のテストのためのファイルは
こちらです。テストの方法は下記です。
Instructions for testing FTP client:
- Unzip the POC file into a directory. This gives
UltraEditPOC.exe, UltraEditPOC-forward.exe,
and UltraEditPOC-combination.exe.
- UltraEditPOC.exe
is a POC FTP server that will send filenames with backslash
directory traversal characters in response to LIST commands.
- UltraEditPOC-forward.exe
is a POC FTP server that will send filenames with forward-slash
directory traversal characters in response to LIST commands.
- UltraEditPOC-combination.exe
is a POC FTP server that will send filenames with both
backslash and forward-slash directory traversal characters in
response to LIST commands.
- Go to the command prompt and run one of the POC
FTP server on a system. It will listen on FTP Port 21.
- IMPORTANT:
Ensure that the UltraEdit FTP/SFTP browser is configured to use Passive
mode. The POC FTP server only supports Passive mode.
- Use UltraEdit's FTP/SFTP browser to connect to
the POC FTP server. You can use any username/password.
- You'll see a directory named /testdir
on the POC FTP server (see below).
- If you traverse into that directory you'll see
a file (testfile.txt) with directory traversal
characters in its filename (see below).
- Now, if you attempt to download the /testdir
directory into C:\aaaa\bbbb\cccc\etc, you'll notice
that testfile.txt will be written into C:\
instead of into C:\aaaa\bbbb\cccc\etc\testdir\testfile.txt.
Hence, by tricking a user to download a directory
from a malicious FTP server, an attacker can potentially leverage this
issue to write files into a user's Startup folder and execute arbitrary
code when the user logs on.
対策
バージョン 14.10 へのバージョンアップをしてください。バージョンアップできなければ、ベンダーからホットフィックスを得てください。
発見と報告の経緯
2008年06月08日 - 脆弱性の発見。
2008年06月08日 - ベンダーに報告しました。
2008年06月09日 - ベンダーから答えを受け取りました。
2008年06月10日 - ベンダーからホットフィックスを受け取りました。
2008年06月16日 - ベンダーからメールをもらいます。ベンダーによると、ホットフィックスは2008年06月13日にリリースしました。
2008年06月17日 - 本脆弱性の公開。
2008年07月02日 - ベンダーは修正版のバージョン 14.10 をリリースしました。
