テクノロジー
Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

テクノロジーカテゴリーの変更を依頼記事元:

fumiyas.github.io

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

297usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

297 users

fumiyas.github.io

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント46件

注目コメント
新着コメント

tsukamotch端的に言えば共用サーバーは使うな、と

2013/09/03リンク

その他

raimon49言及先である徳丸さんのブログにも追記あり。

2013/09/03リンク

その他

muchonovシンボリックリンク、タイミング攻撃とか競合状態とか古典的な地雷が埋まりまくりなんだな。既知の問題だったみたいだけど、日本語圏で目にしたことなかった。

2013/09/03リンク

その他

keitoneGMOの社長さんすごかったよね(・ω・)

2013/09/03リンク

その他

cat-o-ninetailふむふむー。シェル機能の提供を売りの一つにしてる共用サーバサービスの場合、なかなか対策が難しそう。

2013/09/03リンク

その他

dominion525「TOCTOU」→トクトウ→とくとう→禿頭。

2013/09/03リンク

その他

rryuシンボリックリンクのレースコンディション問題は結構昔から言われているが、未だに何とかできる機能がOSに実装されないのは何故なのだろう。

セキュリティ

2013/09/05リンク

その他

luccafort「TOCTOU」知らんかった、なるほど。さらっと流し読みしただけなのであとでよくよく読み直しておこう。

2013/09/03リンク

その他

typistaApache HTTPD : `Options -FollowSymLinks` は不完全 : ダメ出し Blog

pocket2twitter

2013/10/04リンク

その他

dannmod_process_security

2013/09/07リンク

その他

セキュリティ

2013/09/05リンク

その他

tarchan＞各処理の間にはわずかながら別プロセスが動作する猶予があるため、このタイミングでファイルまでのパスをシンボリックリンクに差し替えることで、 Apache HTTPD にシンボリックリンクを辿らせることができてしまう。

2013/09/04リンク

その他

mainyaaう。Symlink Attack根深いんだな。共有サーバーは避ける。ぐらいしか思いつかない

security

2013/09/04リンク

その他

zoidstownなるほど。

2013/09/04リンク

その他

kimutansk一般的な環境で１つのWebサーバプロセス上で複数人のディレクトリを動かしている時点で完全な回避は不可と。

2013/09/04リンク

その他

tmatsuunginxのdisable_symlinksも結局同じ事か。ググってみたらいくつかパッチらしきものは見つかったが正しいかどうかはよくわからん。

2013/09/03リンク

その他

ftypeこゎぃょ～

セキュリティ

2013/09/03リンク

その他

murasaki11なるほどわからん

2013/09/03リンク

その他

potato777 シンボリックリンクかチェックしてからオープンするまでの間に差し替えることでシンボリックリンクを辿らせることができる(Time Of Check to Time Of Use)為、"Options -FollowSymLinks"では完全ではない。

Security

2013/09/03リンク

その他

abe_hnTOCTOU

2013/09/03リンク

その他

paulowniaセキュリティ

2013/09/03リンク

その他

taka222”Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog”

2013/09/03リンク

その他

hirata_yasuyukiBrowsing: "Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog"

2013/09/03リンク

その他

stealthinuシンボリックリンクはそのチェックをたどるわずかな時間の間に差し替えるTOCTOUとう攻撃手法があるため単に-FollowSymLinksしても小さな穴が残るとのこと。

security

2013/09/03リンク

その他

NOV1975攻撃する側がアクセスに合わせて任意のタイミングで作成するわけだから、何回かのトライで上手く行ってしまう可能性はあるね。

2013/09/03リンク

その他

JULY確かに、レースコンディションがある以上、100% では無いけど、実用範囲では十分な対策だと思うが。

セキュリティ

2013/09/03リンク

その他

burnworks『「ユーザーごとに別権限の Web サーバーを立ち上げる」や「ユーザーごとに別権限でコンテンツをアクセスする Web サーバーにする」といった方法で回避もできる』

2013/09/03リンク

その他

qnighyTOCTOU

2013/09/03リンク

その他

luccafort「TOCTOU」知らんかった、なるほど。さらっと流し読みしただけなのであとでよくよく読み直しておこう。

2013/09/03リンク

その他

overleoうへぇ。そうなんだ。共用サーバやばいなあ。

2013/09/03リンク

その他

syuu1228Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

2013/09/03リンク

その他

raimon49言及先である徳丸さんのブログにも追記あり。

2013/09/03リンク

その他

wasaiこのへんはちゃんと読んでおく。「TOCTOU」なんてしらなかった。

2013/09/03リンク

その他

YaSuYuKiLinux限定だが、inotifyとの組み合わせは怖いと思って調べてみたら、lstatの実装まで調べないと使えるかわからなさそうだhttp://linuxjm.sourceforge.jp/html/LDP_man-pages/man7/inotify.7.html

security

2013/09/03リンク

その他

sakura-1TOCTOU攻撃だったのか。なるほど。SELinuxとかでこの手の攻撃は防げるはず。

2013/09/03リンク

その他

katzchang「この問題は「TOCTOU」(もしくは「TOCTTOU」、「Time Of Check to Time Of Use」) と呼ばれる問題の一種」

2013/09/03リンク

その他

dominion525「TOCTOU」→トクトウ→とくとう→禿頭。

2013/09/03リンク

その他

keitoneGMOの社長さんすごかったよね(・ω・)

2013/09/03リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「Apache HTTPD: `Op...」が注目されています。

気持ちをシェアしよう

ツイートする

Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog

シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allow...シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景ロリポップの共有 Web サービス下のサイト改ざん事件で、攻撃手法の一つとして「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090