【詳細情報】ベンダ各社がMHonArc XSSの脆弱性を修正するセキュリティアップデートを発表

◆概要：
　ベンダー各社は、MhonArcのクロスサイトスクリプティング（XSS）に関する脆弱性を修正するアップデートを発表している。これらのアップデートは、攻撃者が電子メールのヘッダーを使ってMhonArcのHTMLタグフィルタリングをバイパスし、HTMLタグを挿入可能なこ

国際海外情報

2002.11.29 Fri 12:00

◆概要：
　ベンダー各社は、MhonArcのクロスサイトスクリプティング（XSS）に関する脆弱性を修正するアップデートを発表している。これらのアップデートは、攻撃者が電子メールのヘッダーを使ってMhonArcのHTMLタグフィルタリングをバイパスし、HTMLタグを挿入可能なことに対応するものである。

　この問題の攻撃用プログラムは、一般に公開されている

◆情報ソース：
・The Debian Project (DSA-199-1), Nov. 19, 2002

◆キーワード：
　Other: Server application Debian: GNU/Linux 2.3x
　Debian: GNU/Linux 2.2x

◆分析：
　(iDEFENSE 米国) 残念なことに、ほとんどのXSS攻撃では、正しくデータをフィルタして全てのHTMLタグを削除するなどの攻撃の防止は、攻撃される側の責任となる。しかしながらHTMLタグは様々な形で作成することが可能であり、ファイル中に散在していることも多い。さらには、サニタイジング・フィルタそのものを利用してHTMLタグを作成することも可能である。

◆検知方法：
　次の製品及びベンダーで脆弱性が確認されている。

・バージョン2.5.12以前のMhonArcで脆弱性が確認されている。
・Debian 2.2 (potato)及び3.0 (woody)で脆弱性が確認されている。

◆ベンダー情報:
　次のアップデートパッケージ及びソースコードが発表されている。

・アップデートされたMhonArcのソースコードは、 http://www.oac.uci.edu/indiv/ehood/mhonarc.html で入手可能。
・アップデートされたDebian Projectパッケージは、 http://www.debian.org/security/2002/dsa-199 で入手可能。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【12:32 GMT、11、20、2002】

《ScanNetSecurity》