UFJ銀行のサーバにクロスサイトスクリプティングの脆弱性
三和銀行と東海銀行が合併し、あらたに業務を開始したUFJ銀行だが、同銀行で使用しているWebサーバに、セキュリティホールが発見された。このサーバでは、「Netscape-Enterprise/4.0」が利用されており、このバージョンにはクロスサイトスクリプティングの脆弱性がある
製品・サービス・業界動向
業界動向
なお、Webサイト上には、Cookieを利用している旨が記載されており、顧客の連絡先などの情報は含まれていないとしているが、いずれにせよセキュリティホールが存在するサーバを使用するのには問題があるだろう。
クロスサイトスクリプティングの脆弱性については、昨年に経済産業省からも通告があった。さらに、米国のシティバンクでは、この脆弱性により、顧客情報が流出するという事件が起きたばかりである。
また、この件に関して、編集部ではUFJ銀行に対しメール、及び電話にて連絡済みである。
UFJ銀行のWebサイト
http://www.ufjbank.co.jp/
□ 関連情報
・経済産業省
Webサイトにおけるクロスサイトスクリプティング問題への対応について
http://www.meti.go.jp/kohosys/press/0002035/0/011030website.htm
・iPlanet Web ServerとNetscape Enterprise Serverにサービス妨害を受ける 脆弱性
iPlanet Web Server Enterprise EditionとNetscape Enterprise Serverの Windows NT版には Web Publisherが有効になっていると、不正なコマンドに よってWEBサーバプロセスをクラッシュ可能な脆弱性があります。
CERT
http://www.kb.cert.org/vuls/id/191763
http://www.ipa.go.jp/security/news/news.html
CERT
iPlanet Web Server Enterprise Edition and Netscape Enterprise Server malformed Web Publisher command causes Denial of Service
http://www.kb.cert.org/vuls/id/191763
《ScanNetSecurity》