概要

　phpMyAdminには下記の2種類の脆弱性の組み合わせにより、リモートから任意のスクリプトを実行させられる脆弱性があります。

• CVE-2011-2505
• CVE-2011-2506

　該当するバージョンは以下の通りです。

• phpMyAdmin バージョン3.3.10.2未満
• phpMyAdmin バージョン3.4.3.1未満

　影響を受ける条件は、上記バージョンのphpMyAdminを使用していることに加えて、以下をすべて満たす場合です。

• setup/index.phpとsetup/config.phpを外部から実行できる
• phpMyAdminのconfigディレクトリが存在し、PHPスクリプトから書き込みができる
• config/config.inc.phpを外部から実行できる

影響

　外部から、PHPの権限で任意のスクリプトを実行できます。検証イメージについては、NTTデータ先端技術株式会社から公表されている検証レポートを参照下さい。
　公開されているPoC（概念実証コード）は、そのままの形で悪用でき、脆弱の有無確認から任意スクリプト実行の裏口作成までを行うもので、影響が大きいと考えられます。上記に該当するサイトは、後述する対策を直ちに実施して下さい。

CVE-2011-2505の概要

　脆弱性の詳細は、このエントリに説明されていますが、以下にもう少し掘り下げて説明します。
　CVE-2011-2505は、任意のセッション変数を外部から任意の値に変更できるというものです。この説明を見て、「register_globalsでも有効になっていたのか?」と疑問に思った方は惜しいところまでいっていますが、register_globalsが原因ではありません。
　該当のソース（libraries/auth/swekey/swekey.auth.lib.php 266行目以降）は以下の通りです。

if (strstr($_SERVER['QUERY_STRING'],'session_to_unset') != false)
{
    parse_str($_SERVER['QUERY_STRING']);
    session_write_close();
    session_id($session_to_unset);
    session_start();
    $_SESSION = array();
    session_write_close();
    session_destroy();
    exit;
}

　ここで、parse_strという関数が使われています。この関数は、クエリストリング形式の文字列を入力として、それを解釈し、PHPの変数として代入するものです（省略可能な第2引数を指定した場合は、そこに配列として値が返ります）。具体例で説明すると、入力が'a=xyz&b[x]=p23&_SESSION[user]=yamada'の場合、以下の結果となります。

<?php
  session_start();
  parse_str('a=xyz&b[x]=p23&_SESSION[user]=yamada');
  var_dump($a);
  var_dump($b);
  var_dump($_SESSION);

【実行結果】
string(3) "xyz"
array(1) {
  ["x"]=>
  string(3) "p23"
}
array(1) {
  ["user"]=>
  string(6) "yamada"
}

　先に引用した箇所には、parse_str($_SERVER['QUERY_STRING']); という行があるので、URL上のクエリ文字列により、任意の変数を設定できることになります。このスクリプトの最後はexit;でアプリケーションを終了させるので、通常の変数の設定には攻撃としての意味はありませんが、セッション変数が変更できることが問題です。セッション変数は、後続のページに影響を与えるからです。
　これが、CVE-2011-2505の「変数汚染」脆弱性の原因です。
　なお、$_SESSION = array(); という行があるので、セッション変数をクリアしているように見え、セッション変数の汚染はできないように思えますが、実際には汚染が可能です。その理由は、以下の通りです。

• session_write_close(); の呼び出しにより、セッションの内容を書き出している
• その後、session_id($session_to_unset); によりセッションIDを変更しているので、セッションの内容は上書きされない
• 攻撃者は元のセッションIDに戻すことにより、汚染した方のセッションを悪用できる

　ここで、$session_to_unset という変数はセットされていないように見えますが、クエリ文字列session_to_unsetをセットすれば、parse_str関数によりこの変数がセットされるという流れです。分かりにくいプログラムですね。
　ここで、この脆弱性を修正したバージョン(3.4.3.1)の該当箇所を引用します。

if (!empty($_GET['session_to_unset']))
{
	session_write_close();
	session_id($_GET['session_to_unset']);
	session_start();
// 以下同じ

　これなら分かりやすいですね。そして修正前のスクリプトでは、parse_str関数の呼び出しが、変数session_to_unsetの設定だけに使われていたことが分かります……。なんと言いますか、鶏を割くにいずくんぞ牛刀を用いん、の類で、単にクエリストリングsession_to_unsetを使いたいだけなにのにparse_str関数を呼び出して、プログラムは読みにくくなるし、脆弱性は混入するし、でいいことはまったくありません。最初からこう書けばいいのに、そうしなかった理由は、昔からのregister_globals前提のスクリプトを、register_globalsを設定しなくても動くように変更したためでしょうか（憶測）。
　これで、CVE-2011-2505の説明は終わりです。

CVE-2011-2506の概要

　続いて、CVE-2011-2506の説明です。こちらは、ConfigGenerator.class.phpというファイルの中でセッション変数の内容をPHPのコメントに書き出している箇所があり、そこに脆弱性があります。該当箇所のソース（setup/lib/ConfigGenerator.class.php 38行目）を引用します。

    // servers
    if ($cf->getServerCount() > 0) {
        $ret .= "/* Servers configuration */$crlf\$i = 0;" . $crlf . $crlf;
        foreach ($c['Servers'] as $id => $server) {
            $ret .= '/* Server: ' . strtr($cf->getServerName($id), '*/', '-') . " [$id] */" . $crlf

　引用の最下行で、「/* Server:」で始まるコメントを書き出しています。生成されるコメントの例を以下に示します。

config/config.inc.php

/* Server: the test server [1] */

　$cf->getServerName($id)が、「the test server」、$idが「1」です。
　ここで、前者の方で、strtr関数で「*」を「-」に変換しているのは、スクリプトインジェクション攻撃対策のサニタイジングです。ここに以下の文字列を挿入した場合、

*/ system('echo /etc/passwd'); /*

　サニタイズしない場合、生成されるコメントは以下となります。コメントが閉じられ、system関数によりOSコマンドが実行されます。

/* Server: */ system('echo /etc/passwd'); /* [1] */

　一方、サニタイズした場合は、コメントは以下となり、スクリプトの注入はできません。

/* Server: -/ system('echo /etc/passwd'); /* [1] */

　なお、該当箇所の開発者はstrtr関数の仕様を勘違いしているようです。strtr関数は文字単位の置換であり、第2引数に指定された文字を第3引数に指定された文字に変換するものですが、文字列中の位置に意味があり、第2引数のn番目に指定された文字を第3引数のn番目の文字に変換します。先の例では、第2引数が「*/」、第3引数が「-」ですが、第2引数の方が長い文字列の場合はそれは無視されます*1。すなわち、「*」を「-」に変換するという意味になります。開発者の意図が、仮に「*」と「/」の両方を「-」に変換することである場合は、第3引数は、「--」でなければなりません。このあたり、プログラムがちょっとずつ甘いなぁと思いますが、幸いこれは脆弱性ではありません。
　問題は、$idをサニタイジングしていないことにあります。このため、セッション変数の汚染により$idの方にスクリプトインジェクション攻撃を仕掛けることができるというのが、CVE-2011-2506の脆弱性です。
　ここで、この脆弱性を修正したバージョン(3.4.3.1)の該当箇所を引用します。該当する最後の行だけです。

            $ret .= '/* Server: ' . strtr($cf->getServerName($id) . " [$id] ", '*/', '-') . "*/" . $crlf

　ご覧のように、「$cf->getServerName($id) . " [$id] "」をまとめてサニタイズするようにしています。これで問題はないと思いますが、strtr関数の使い方は相変わらず間違っています。
　CVE-2011-2506の説明は以上です。これまで説明したように、CVE-2011-2505脆弱性でセッション変数を汚染して、CVE-2011-2506脆弱性を悪用してPHPスクリプトを書き出すというのが攻撃の流れになります。
　ここで、読者の参考のため、PoCの攻撃手順のHTTPリクエストを以下に示します。

GET /phpmyadmin/setup/index.php                                  セッションID、トークンの取得など
GET /phpmyadmin/?_SESSION[ConfigFile][Servers][*/攻撃スクリプト  セッション変数汚染
POST /phpmyadmin/setup/config.php                                攻撃コードの埋め込み
GET /phpmyadmin/config/config.inc.php?eval=攻撃コード            攻撃コードの実行

対策

　上に示したように、スクリプト注入の攻撃が成立するためには、攻撃者がphpMyAdminのsetupディレクトリとconfigディレクトリの配下のスクリプトにアクセスする必要があります。しかし、これらのディレクトリは、phpMyAdminの設定用のスクリプトがおかれている訳ですから、外部から認証なしにアクセスできること自体が、そもそも脆弱であると言えます*2このことから、phpMyAdminのバージョンに関わらず、以下を強く推奨します。

• phpMyAdminのインストールされたディレクトリには外部からアクセスできないよう適切なアクセス制限を設ける

　具体的には以下が考えられます。

• phpMyAdminのインストールされたディレクトリにはインターネットからアクセスできないように制限する
• phpMyAdminのインストールされたディレクトリにアクセスできるIPアドレスをホワイトリストにより制限する
• phpMyAdminのインストールされたディレクトリにSSLクライアント認証やHTTP認証（BASIC認証など）によるアクセス制限を設ける

　上記のHTTP認証を書ける場合の注意を補足します。phpMyAdmin自体にもHTTP認証の機能がありますが、それは使用せずに、Apache等の設定でphpMyAdminのディレクトリ以下全体にHTTP認証をかけるようにします。その理由は、phpMyAdminのHTTP認証はあくまでアプリケーションの認証であり、setupスクリプトやconfigディレクトリに関してはアクセス制限は掛からないからです。このため、Apache等でディレクトリ単位のアクセス制御を行い、phpMyAdminはcookie認証を設定するのがよいと思います。
　また、configディレクトリは、普段は必要のないものなので、設定が終わったら削除するべきです。これだけでも、このエントリで紹介したスクリプトインジェクションは防げます。

• configディレクトリを削除する

　このような対策の一方で、phpMyAdminを最新版にバージョンアップして下さい。

• phpMyAdminを最新版にバージョンアップする

まとめ

　phpMyAdminのスクリプト実行の脆弱性（CVE-2011-2505、CVE-2011-2506）について報告しました。
　私がこの脆弱性に関心をもったきっかけは、スクリプトが実行される脆弱性とはどのようなものなのだろうという興味からでした。もちろん、ファイルインクルードとか、evalインジェクション、あるいはアップローダの脆弱性など、任意スクリプトが実行できる脆弱性はいくつかあるわけですが、phpMyAdminの脆弱性はどれでもないように思えたからです。
　調べた結果はご覧の通りですが、私は、設定ファイルをPHPのスクリプトとして生成するというphpMyAdminの設計がそもそも危なっかしいと思います。設定ファイルはテキスト形式にしておけば、スクリプトインジェクションの可能性もありません。おそらく、導入を簡単にするための工夫なのだと思いますが、よくない設計だと思います。
　また、parse_strの使用も問題です。第2引数をとらないparse_strは、常に変数汚染の危険性が伴いますが、phpMyAdmin3.4.3.1のソースを調べたところ、parse_strを使っている箇所がまだ1つ残っていました（libraries/auth/swekey/swekey.auth.lib.php 146行目）。脆弱性となるかどうかは調べていませんが、潜在的に危険であると言えます。

　しかし、私が一番問題だと思うのは、phpMyAdminを危険な状態で設置しているサイトが少なからずあることだと思います。phpMyAdmin自体に認証機能があるので油断している利用者がいるのかもしれませんが、それは危険です。phpMyAdminはインターネットに公開して使用されることを想定した設計になっていないように思います。phpMyAdminはインターネット越しに使わないのが一番よいと思いますが、レンタルサーバーなどでやむを得ずインターネット越しにphpMyAdminを利用する場合は、IPアドレス制限やHTTP認証などを併用するべきです。
　加えて、configディレクトリは設定終了後削除しておくべきです。configディレクトリが残っている状態でphpMyAdminを起動すると、以下のようなエラーメッセージが表示されます。

　このような警告メッセージを放置することは非常に危険だということです*3。

　まとめると、phpMyAdminのスクリプトインジェクション攻撃を受けるのは、以下の三重苦が揃うことが原因だと考えます。

• phpMyAdminの杜撰な設定による利用
• parse_strを安直に用いたphpMyAdminの実装
• 設定ファイルをPHPスクリプトにしてそれを動的生成するphpMyAdminの設計思想

[PR]

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2011/03/01
• メディア: 単行本
• 購入: 119人 クリック: 4,283回
• この商品を含むブログ (146件) を見る

CGIのDoS

　元記事ではCVE-2009-3660として紹介されていますが、CVEおよびNVDのサイトを見ると、Efront 3.5.4以前の脆弱性とあります。明らかに該当しないので調べてみると、CVE-2008-3660の間違いのようですね。2008を2009とTYPOしたのでしょう。
　脆弱性の中味ですが、元記事に以下のように書かれています。

この脆弱性は不正なパスを指定することにより簡単にCGIバイナリをクラッシュしてしまう脆弱性です。

http://gihyo.jp/dev/serial/01/legacy-php/0004

　ちょっと欲求不満の残る書き方ですね。「不正なパス」とはなんでしょうか。NVDのサイトを見ると以下のように説明されています。

PHP 4.4.x before 4.4.9, and 5.x through 5.2.6, when used as a FastCGI module, allows remote attackers to cause a denial of service (crash) via a request with multiple dots preceding the extension, as demonstrated using foo..php.

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3660

　太字で示したように、foo..phpのように複数のドットを持ったファイル名があると、PHPがクラッシュするようです。
　なお、NVDの上記説明では、PHP4.4.9より前となっていますが、実際にはPHP4.4.9も該当するようです（大垣さんの記事の方が正しい）。
　アプリケーションに処理が渡る前にPHPがクラッシュしてしまうので、対策はアプリケーションの外側で行う必要があります。以下のいずれかによる対策が考えられます。

• PHPの最新版に移行する
• CGI/FastCGIからモジュール版のPHPに移行する
• WAFやmod_rewriteで対処する

　元記事はmod_rewriteによる対策を紹介しています。

パッチを適用せずにクラッシュを回避するには，簡易なものでもよいのでWAFを導入します。簡易なWAFとはApacheのmod_rewriteを利用したプロキシをWAFとするなどの方法があります。

http://gihyo.jp/dev/serial/01/legacy-php/0004

　これはちょっと分かりにくいですね。NVDの説明にあるように、複数のドットがあるパス名が問題なので、このようなパスに対するmod_rewriteのルールを記述して、エラーページを表示する方法が考えられます。

x86 FPUクラッシュ

　この項はCVE識別番号が抜けています。私は最初、どのCVEに該当するのか探せなかったのですが、おそらくCVE-2010-4645（CVE、NVD）ですね。特定の数値を浮動小数点数に変換すると無限ループになるというもので、PHP以外のJavaやRubyでも同種の問題がありました。PHP5.3.5以降、PHP5.2.17では対処されています。
　PHP4.4.9（Windows版）にて以下が無限ループになることを確認しました。

<?php
  $a = "2.2250738585072011e-308";
  $b = (double)$a;
?>

　元記事の対策は以下の通り。

入力値をバリデーションしてクラッシュを防ぐことが考えられます。

http://gihyo.jp/dev/serial/01/legacy-php/0004

　確かにそうなのですが、どうバリデーションすればよいかは書いていません。おそらくこの連載は、PHP4セキュリティ保守サービスという有償サービスの宣伝という意味があるようで、肝心なことは書いていないのかもしれません。そこで、勝手に回避策を紹介しましょう。
　アプリケーションでこの問題を回避するためには、攻撃数値文字列を *浮動小数点数に変換する前に* チェックする必要があります。これは少々やっかいです。指数形式が必要ないのであれば、以下のような正規表現でバリデーションする方法が考えられます。

if (preg_match('/\A-?[0-9]+(\.[0-9]+)?\z/', $a) == 0) {
  die('数値形式が不正です');
}

　厳密には、これだけではダメです。以下のように、指数形式を用いないPoCも存在するからです。

$a = '0.000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000022250738585072011';

　小数点以下、0が307個並びます。このようなケースもあるので、全体の桁数を適当に制限するとよいでしょう。

exifのクラッシュ

　記事にあるように、PHP5.3.5以前に存在したCVE-2011-0708です（CVE、NVD）。すなわち、PHPの最新版5.3.6で修正されたばかりということになります。PHP5.2では修正されていません。
　ただし、64ビット環境でのみ脆弱となるようです。CVE、NVDにも明記されていますが、日本語の方が読みやすいので、ここはJVNから引用しましょう。

64-bit プラットフォーム上で稼働している PHP の Exif 拡張モジュール内にある exif.c は、不正な形式のキャストを処理してしまうため、サービス運用妨害 (DoS) 状態となる脆弱性が存在します。

http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-001389.html

　結局このぜい弱性の影響を受けるのは、以下の全てを満たす場合と思われます。

• PHP5.3.5以前（現時点の最新版5.3.6以外すべて）
• PHPの64ビット版を使用している
• exif_read_data()により、外部からアップロードされた画像を処理している

　従って、PHP4.4.9の32ビット版を使っている環境では、このぜい弱性は対処しなくて良いでしょう。仮に、上の全てに該当する場合は、exif_read_data()による処理を別の関数などに書き換えることで対策します。
　なお、Exploit Databaseには、ぜい弱性の条件が以下のように記述されています。

Using the following configuration, a system is most likely vulnerable:
(a) PHP 64bit version
(b) PHP compiled with --enable-exif
(c) memory_limit = -1

http://www.exploit-db.com/exploits/16261/

　このため、memory_limitを必要最小限の値にする（-1は無制限を意味する）ことで、保険的な対策になるかもしれません。ただし、私はこの点については未検証です。memory_limitを必要最小限にすることはDoS耐性を高める一般的な対策となるので、exifを使ってない場合でも、制限しておくと良いでしょう。

shmopの不正メモリ参照

　これもCVE識別番号が書いてありません。おそらくCVE-2011-1092だと思われます（CVE、NVD）。shmop_read()関数の整数オーバーフローの脆弱性ですね。PHP5.3.6（現時点の最新版）で修正されたものなので、レガシーPHPに限らず、相当のPHP記述のサイトが対象になります。これもPHP5.2では対策される見込みがありません。
　大垣さんは、この脆弱性を結構重く見ているようですが、私はそうは思いません。その理由は以下の通りです。

• リモートから脆弱性を悪用されるシナリオが想定しにくい
• ローカルの攻撃の場合でも権限昇格が起きるわけではない

　Redhatのレポートの末尾には以下のようなコメントがあります。私はこのコメントに同意します。

Statement:

Red Hat does not consider this to be a security issue. Input passed to these functions should be under the full control of the script author, thus no trust boundary is crossed. Additionally, an administrator would have to disable, or excessively increase the memory_limit settings in the PHP configuration file to trigger this bug.

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-1092

　Expolitとしては以下が公表されています。

01	<?php
02	# Exploit Title: PHP <=5.3.5 Integer Overflow DoS
03	# Date: 12-03-11
04	# Author: Jose Carlos Norte - www.rooibo.com
05	# Software Link: www.php.net
06	# Version: <= 5.3.5
07	# Tested on: Ubuntu Linux
08	# CVE : CVE-2011-1092
09	 
10	$shm_key = ftok(__FILE__, 't');
11	$shm_id = shmop_open($shm_key, "c", 0644, 100);
12	$shm_data = shmop_read($shm_id, 1, 2147483647);
13	//if there is no segmentation fault past this point, we have 2gb of memory!
14	//or we are in a patched php
15	echo "this php version is not vulnerable!";
16	 
17	?>

　shmop_read関数の第3数に2147483647（32ビット符号付き整数の最大数）が指定されています。このように、非常に大きな値をshmop_read関数の第3引数に指定する必要がありますが、そのような状況がリモートから可能になることは、あまりないと考えられます。
　一方、ローカルからの攻撃については、権限昇格を伴わないと思われるので、攻撃の動機がありません。
　対策については、shmopを使っていないのであれば、元記事の回避策が有効です。

shmopモジュールをロードしない。shmop関数をdisable_functionで指定する。

http://gihyo.jp/dev/serial/01/legacy-php/0004

　もしもshmopを使っている場合は、shmop_read関数の使用状況を調べ、万一外部から第3引数をコントロールできる場合は、その設計を見直すか、第3引数の範囲チェックを行います。

[PR]

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2011/03/01
• メディア: 単行本
• 購入: 119人 クリック: 4,283回
• この商品を含むブログ (146件) を見る

secure.softbank.ne.jpを経由する銀行

　以下は、ログイン画面のURLがhttps://secure.softbank.ne.jp/〜となっています。大手都市銀行は全てという感じです。

• 三井住友銀行
• 三菱東京UFJ銀行
• みずほ銀行
• りそな銀行
• セブン銀行
• じぶん銀行
• 住信SBIネット銀行
• 楽天銀行
• 新生銀行

　secure.softbank.ne.jpはホワイトリスト方式で残されるということでしたが、上記モバイルバンキングは、そのホワイトリストの対象なのでしょう。

End-to-EndのSSLによる銀行

　以下は、ゲートウェイを経由しないEnd-to-EndのSSLです。

• ジャパンネット銀行
• ソニー銀行
• シティバンク

SSLを使っていない銀行

　以下はログイン画面でもSSLではありません。おそらく、ゲートウェイとWebサーバーは専用線接続だと思われます。

• ゆうちょダイレクト
• イオン銀行

　上記は、ソフトバンク携帯電話から各モバイルバンキングのログイン画面に遷移し、その画面のURLを調べる方法で調査しました。
　みずほ銀行がsecure.softbank.ne.jp方式を残したのにトラブっている原因は謎です。予想外の展開に驚きました。