Penguin TraceRoute は、リモートコマンドの実行を可能にする | ScanNetSecurity
2026.04.16(木)

Penguin TraceRoute は、リモートコマンドの実行を可能にする

[翻訳:関谷 麻美]
2002年3月22日

国際 海外情報
28 views
facebookLINE
[翻訳:関谷 麻美]
2002年3月22日

◆概要:
 Perl を使ったホスト追跡ルーティング・プログラムのPenguin TraceRoute に脆弱性が確認された。リモート攻撃者はその脆弱性を利用して、perl スクリプトで任意のコマンドを実行することが可能になる。

◆詳細:
脆弱なシステム:
Penguin TraceRoute バージョン 1.0

 このスクリプトは、望ましくない文字をフィルタで除外しない。すなわち ; | 文字を使うと使用しているユーザの権限を持って任意のコマンドを実行することを可能にする。

例:
"127.0.0.1;cat /www/secure/.htpasswd"
Or if the user has write access:
もしくは、ユーザが書き込みアクセス権を持っている場合、
"127.0.0.1;echo I iz 1337>index.html".

修正プログラムに関する情報:
 好きなテキスト・エディタで perl スクリプトを開き、"$host = $q->param('host');" を持つ行を見つけなさい。通常それは 13 行目にあり、そしてその行の下に "$host =~ s/[;<>*|'&$!?#()[]{}:'"\]//g;" の行を追加する。これで、全ての望ましくない文字を除く。

◆追加情報:
 paul jenkins がこの情報を提供した。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

    「すでに感染してしまった」最悪のシナリオで訓練実施 ~ LINEヤフーのランサムウェア対応訓練

  2. 佐藤工業の作業所の NAS に不正アクセス、本人情報と緊急連絡先が閲覧された可能性

    佐藤工業の作業所の NAS に不正アクセス、本人情報と緊急連絡先が閲覧された可能性

  3. 不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ~ 2025年「コンピュータウイルス・不正アクセスの届出状況」

    不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ~ 2025年「コンピュータウイルス・不正アクセスの届出状況」

  4. ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

    ホームページ内の個人情報非表示の Excel ファイルは検索エンジンの検索結果から閲覧可能

  5. 178,782件の迷惑メール送信 ~ 奈良女子大学のメール送信サーバに設定上の不備

    178,782件の迷惑メール送信 ~ 奈良女子大学のメール送信サーバに設定上の不備

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP