Welcome to SapporoWorks! We create stimulating network programs. By a demand from user, SapporoWorks evolves.
トップページ | ソフトウエア | シェアウエア登録 | セキュリティ情報 | 開発情報 | ドキュメント |
ソフトウエア > BlackJumboDog > ドキュメント > セキュリティに関して

BlackJumboDogのような外部にサービスを提供するプログラムは、誤った設定のために、利用者の意に反した不正な使用を許すことがあります。また、ケーブルネットワークなどの常時接続環境では、ＩＰアドレスが固定になるため、その危険性は、非常に高いものになります。それぞれの環境で使用するサービスに該当する部分を確認し、今一度、設定を見直してみることをお奨めします。 一部のプロパイダなどでは、不正を許すサーバを放置した場合、契約を破棄するなどの警告も出されています。 ●●●●　プロキシサーバー クライアントからインターネットに出るために経由するプロキシサーバは、設定によっては、クライアントが使うと同時に、意図しない第３者が使用する事も可能になってしまいます。 現在、問題となっているのは、メールプロキシを不正使用したＳＰＡＭメール用の踏み台や、ＨＴＴＰプロキシを使用した自ＩＰの秘匿などです。 不正使用を考える者にとっては、そのサーバのＩＰアドレスが必要になりますが、CATVなどの常時接続環境では、そのＩＰアドレスが固定になる形態が多いため、特に危険性が高まります。 BlackJumboDogでプロキシ機能を動作させている方は、早急に、利用者の制限を実施して、意図しない不正中継を防止してください。 不正中継防止の設定要領は、こちらをご覧ください。 Proxy Checker ここで、ＨＴＴＰプロキシの設定が不正使用を排除出来ているかどうかを確認できます。 ●●●●　メールサーバ 1 メールサーバを使用される方は、必ず管理者（master）のパスワードを変更してください。 管理者のアカウント名は、変更することが出来ますが、必ず管理者の登録がないと問題が生じるためデフォルトで、master が登録されています。 2 インターネットに常時接続された環境で、メールサーバをインターネット転送と共に使用する場合、必ず中継許可のアドレスに利用者のみを指定してください。 v2.0.7 以前のバージョンには、この指定が有りません。上記の運用を考えている場合は、必ず、v2.0.7 以降のものをご利用下さい。 ●●●●Ｗｅｂサーバ 1 セキュリティホールについて 各個のバージョンにはセキュリティ上の問題を含んでいるものが存在します。 問題あるバージョンをご利用の方は、早急に最新版へのバージョンアップをお願いします。 (1) ロングファイル名で作成されたディレクトリへの認証 Ｗｅｂサーバの認証に設定において、ロングファイル名で作成されたディレクトリへの認証がショートファイル名のアクセスで回避できてしまう問題をRyu1さんからご指摘頂きました。 Version2.3.4においてこの問題に対処させていただきました。 (2) ディレクトリの大文字・小文字の判断 Ｗｅｂサーバの認証に設定において、指定したディレクトリの大文字・小文字を別に扱ってしまっているため、指定したもの以外の文字（大文字・小文字を変化させたもの）のリクエストで認証が無条件で無効化されてしまうとの重大なセキュリティ上のご指摘をRyu1さんから頂きました。 Version2.3.3において大文字小文字を区別しないように修正されました。 (3) 「BJDを経由したリクエストの特別拡張を使用する」のオプション BlackJumboDog のプロキシを使用するとき、追加するするヘッダにRemote-Host:を指定すると、Ｗｅｂサーバでは、そのＩＰアドレスがリクエスト元のＩＰアドレスである判断して動作します。 これは、悪意を持って使用すると、重大なセキュリティホールになるという御指摘をRyu1さんから頂きました。 Version 2.3.2以降、この動作をデフォルトで使用しないようにし、新たに、「BJDを経由したリクエストの特別拡張を使用する」のオプションを追加しました。 参考　「BJDを経由したリクエストの特別拡張を使用する」について (4) 特定のリクエストでＣＧＩのソースが漏洩してしまう 2002/12/01更新 特定のリクエストでＣＧＩのソース内容が漏洩してしまう問題をかめぞ〜さん 中田昭雄さん Watanabeさん 大隈さんからご指摘頂きました。 Version3.1.0においてこの問題に対処させていただきました。 2 過去に配布されたバージョンでは、デフォルトで下記のような設定になっているものがあります。 (1) 「ドキュメントルート」[ c:\ ]　　 ここで指定したディレクトリの配下は、全てがクライアントからアクセス可能になってしまいます。 通常は、c:\web　など、ドキュメントを提供する専用のディレクトリを指定してください。 (2) 「隠し属性のファイルへのリクエストを禁止する」［チェックなし］ 隠し属性のファイルをクライアントに提供するかどうかのチェックです。 特に必要を認めない場合、ここをチェックしておいてください。 (3) 「URLに..が含まれるリクエストを禁止する」[チェックなし] ドキュメントルートで指定したディレクトリより、上の階層を要求してきたリクエストを、禁止するかどうかのチェックです。 ここのチェックがない場合、http://192.168.1.1/../hogehoge.html のようなリクエストで、ドキュメントルートより 上の階層にアクセスが可能になってしまいます。 特に必要を認めない場合、ここをチェックしておいてください 3 クロスサイトスクリプティング脆弱性 Version2.6.1以前のBJDのWebサーバにクロスサイトスクリプティング脆弱性が存在します。 Version2.6.1 以前のバージョンで、Webサーバの運営をしないで下さい。 ●●●● リモート制御 1 デフォルトでパスワードなしになっています。 リモート制御を使用する場合、必ずパスワードを設定して下さい。 2 利用者制限を使用してください 以前のバージョンでは、リモート制御を許可するアドレスの指定ができませんでした。 必ず、制限のできるバージョンのものを使用して、設定していただくことをお奨めします。 ●●●●セキュリティホール Version2.6.5以前のバージョンには、プロキシサーバにバッファオーバーフローのセキュリティホールが発見されています。 UNYUN 様より、上記のご指摘を頂き、Version2.6.6で修正させて頂きました。 Version2.6.1以前のバージョンには、Webサーバにクロスサイトスクリプティング脆弱性のセキュリティホールが発見されています。 高木 浩光 様より、上記のご指摘を頂き、Version2.6.2で修正させて頂きました。 v2.0.6以前のバージョンには、メールの不正中継の可能性に関して、仕様上の問題が報告されています (1) 常時接続等の環境で、インターネット転送を使用する設定で、メールサーバを運用すると、不正中継に利用される可能性があります。 旧名称（WinProxy） v2.0.1以前のバージョンには、セキュリティ・ホールが発見されています The Shadow Penguin Security 代表の UNYUN氏より、セキュリティホールに関するご連絡を頂きました。 (1) 不正なリクエストによる、HTTPプロキシの暴走 (2) 不正なリクエストによる、POP3サーバのバッファオーバーフロー Version3.6.1以前のBJDのFTPサーバには、バッファオーバーフロー脆弱性が指摘されています。 ●●●● その他 上記の他、一般的に下記の内容に注意してください。 1 セキュリティホールなどのご連絡があった場合、このホームページ上でアナウンスすると共に、最大限の努力を持って修正等の対処します。 必ず、利用者の責任に置いて、これらの情報入手に心がけると共に最新のバージョンをご利用下さい。 2 定期的にBlackJumboDog.logを確認して、外部から利用しようとした形跡などが無いかを確認してください。 BlackJumboDogのディレクトリには、画面に表示されたものと同一の内容の、ログファイル（BlackJumboDog.log）があります。 利用者のＩＰアドレスを確認してください。 3 Windowsネットワークは、CATV側のLANカードの設定で、ネットワーク共有サービスのバインドを外すことをお奨めします。 BlackJumboDogには、直接関係有りませんが、Windowsのネットワークサービスは、インターネット側に対しては通常不要だと思います。 不要なサービスを停止する意味で、バインドを外しておく方がいいと思います。 4 不要なサービスの停止 これも、一般的ですが、必要としないサービス（ポート）は、閉じておくようにしてください。 BlackJumboDogで利用可能になっているサービスは、メニューから［ファイル（F)］-「ステータス表示(S)」で確認する事ができます。

ソフトウエア > BlackJumboDog > ドキュメント > セキュリティに関して

copyright(c) 1995- SapporoWorks 当サイトはリンクフリーです。リンク時に連絡などは必要有りません。また、どのページにリンクして頂いても構いません。