脆弱性対応について

脆弱性対応について

脆弱性対応について

- アクセス解析CGIにおける脆弱性について -
公開日 2019年6月24日
最終更新日 2023年12月25日

概要

当サイトで配布しているアクセス解析CGIにおいて、2019年6月24日以前に配布しているものに脆弱性が存在することが判明しました。
この脆弱性により解析画面が第三者に閲覧可能になったり、管理画面にアクセスできたり、さらに悪意を持ってアクセスした場合に不要なJAVASCRIPTを実行されてしまう危険性があります。
リンク元解析でのリンクにおいて、オープンリダイレクトの脆弱性があります（2023.12.25追加）。

脆弱性の説明及び脅威

解析画面が第三者に閲覧可能になったり、悪意を持ってアクセスした場合に不要なJAVASCRIPTを実行されてしまう危険性があります。
リンク元解析でのリンクにおいて、悪意のありサイトにリダイレクトされる危険性があります（2023.12.25追加）。

対策方法

2023年12月24日以前に取得され運用中の場合には、次の手順により対応して下さい。
これにより、解析画面が第三者に閲覧可能な状態にあったものをエラー表示にしてアクセスできないようになり、管理画面へのアクセスもできなくなります。また、悪意を持ってアクセスした場合にもJAVASCRIPTが実行されることはなくなります。
リンク元のURLへのリダイレクトを行えないようにしました（2023.12.25追加）。

【手順1】
対応済みの各スクリプトを次からダウンロードして、.cgiの拡張子のつくファイルを既存のものに上書きして下さい。
既存のloc.cgiを削除して下さい（2023.12.25追加）。
検索エンジンの順位解析も行う新しいタイプのもの
検索エンジンの順位解析は行わない古いタイプのもの

【手順2】（オープンリダイレクトの脆弱性のみの対応については以下の作業は不要です）
設定ファイル（config.txt）がブラウザ上で表示されないことを確認して下さい。
サーバーの仕様によっては、設定ファイルに直接アクセスできてしまうことがあります。次のようにして確認下さい。
例）
http://(ご利用のサイトURL）/cgi-bin/anlog/data/config.txt
アクセスして設定内容が表示される場合は、ダウンロードしたdataフォルダにあるhtaccess.txtファイルの名前を.htaccessと変更しサーバーのconfig.txtのあるdataディレクトリ内に置いて下さい。
これで表示されないようになることを確認します。それでも表示される場合には、スクリプトの設置を諦めて下さい。

【手順3】
管理画面に入り、パスワードを変更して下さい。

【手順4】
解析用のhtmlが次のようになっていますが、赤字の部分を削除して下さい。

<script language="JavaScript">

</script>

次のようになります。

<script language="JavaScript">

</script>

謝辞

本件に関しましてご指摘をいただきました株式会社STNetの渡邉優太様にお礼を申し上げます。

更新履歴

2019年6月24日　このページを公開しました。
2023年12月25日　オープンリダイレクトの脆弱性について追加公開しました。

連絡先

有限会社アングラーズネット
メール:info@anglers.net.com