米SANS Instituteは現地時間11月15日,テキスト・ベースのWebブラウザ「Lynx」に危険なセキュリティ・ホールが見つかっているとして注意を呼びかけた。細工が施されたリンクなどをクリックすると,任意のコマンドやローカルのプログラムを勝手に実行させられる。対策はアップグレードや設定変更。
セキュリティ・ホールを発見したのは米iDefense。米国時間11月11日付けでアドバイザリを公開している。Lynx 2.8.5およびそれ以前のバージョンには,URIハンドラ「lynxcgi」の取り扱いに問題がある。lynxcgiはローカルに置かれた特定のプログラム(あるいは特定フォルダ内のプログラム)を実行するためのURIハンドラ。しかし,デフォルト設定のミスや入力チェックの不具合により,Webページからlynxcgiの引数を指定できてしまう。
つまり,lynxcgiを使ってローカルのプログラムやコマンドを実行させるようなリンクを作成し,そのリンクをLynxで指定させれば,そのプログラム/コマンドを実行させることが可能となる。プログラムやコマンドは,Lynxを実行しているユーザーの権限で実行される。
「lynxexec」と「lynxprog」のURIハンドラにも同じ問題があるが,これらはデフォルトでは利用できない(利用できないようにコンパイルされている)ケースがほとんどなので,lynxcgiほどは影響は大きくないという。
対策は,今回のセキュリティ・ホールを修正した「Lynx 2.8.6dev.15」にアップグレードすること。パッチ・ファイルも用意されている。
lynxcgiを無効にすることでも,影響を回避できる。具体的には,設定ファイル「lynx.cfg」において,「TRUSTED_LYNXCGI:none」とする。
◎参考資料
◆Lynx user? Upgrade it!(米SANS Institute)
◆Multiple Vendor Lynx Command Injection Vulnerability(米iDefense)
◆Current Version in Various Archive Formats(Internet Software Consortium)
