【詳細情報】ベンダ各社がMHonArc XSSの脆弱性を修正するセキュリティアップデートを発表
◆概要:
ベンダー各社は、MhonArcのクロスサイトスクリプティング(XSS)に関する脆弱性を修正するアップデートを発表している。これらのアップデートは、攻撃者が電子メールのヘッダーを使ってMhonArcのHTMLタグフィルタリングをバイパスし、HTMLタグを挿入可能なこ
国際
海外情報
ベンダー各社は、MhonArcのクロスサイトスクリプティング(XSS)に関する脆弱性を修正するアップデートを発表している。これらのアップデートは、攻撃者が電子メールのヘッダーを使ってMhonArcのHTMLタグフィルタリングをバイパスし、HTMLタグを挿入可能なことに対応するものである。
この問題の攻撃用プログラムは、一般に公開されている
◆情報ソース:
・The Debian Project (DSA-199-1), Nov. 19, 2002
◆キーワード:
Other: Server application Debian: GNU/Linux 2.3x
Debian: GNU/Linux 2.2x
◆分析:
(iDEFENSE 米国) 残念なことに、ほとんどのXSS攻撃では、正しくデータをフィルタして全てのHTMLタグを削除するなどの攻撃の防止は、攻撃される側の責任となる。しかしながらHTMLタグは様々な形で作成することが可能であり、ファイル中に散在していることも多い。さらには、サニタイジング・フィルタそのものを利用してHTMLタグを作成することも可能である。
◆検知方法:
次の製品及びベンダーで脆弱性が確認されている。
・バージョン2.5.12以前のMhonArcで脆弱性が確認されている。
・Debian 2.2 (potato)及び3.0 (woody)で脆弱性が確認されている。
◆ベンダー情報:
次のアップデートパッケージ及びソースコードが発表されている。
・アップデートされたMhonArcのソースコードは、 http://www.oac.uci.edu/indiv/ehood/mhonarc.html で入手可能。
・アップデートされたDebian Projectパッケージは、 http://www.debian.org/security/2002/dsa-199 で入手可能。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【12:32 GMT、11、20、2002】
《ScanNetSecurity》