【詳細情報】ベンダ各社がMHonArc XSSの脆弱性を修正するセキュリティアップデートを発表 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.15(土)

【詳細情報】ベンダ各社がMHonArc XSSの脆弱性を修正するセキュリティアップデートを発表

◆概要:  ベンダー各社は、MhonArcのクロスサイトスクリプティング(XSS)に関する脆弱性を修正するアップデートを発表している。これらのアップデートは、攻撃者が電子メールのヘッダーを使ってMhonArcのHTMLタグフィルタリングをバイパスし、HTMLタグを挿入可能なこ

国際 海外情報
◆概要:
 ベンダー各社は、MhonArcのクロスサイトスクリプティング(XSS)に関する脆弱性を修正するアップデートを発表している。これらのアップデートは、攻撃者が電子メールのヘッダーを使ってMhonArcのHTMLタグフィルタリングをバイパスし、HTMLタグを挿入可能なことに対応するものである。

 この問題の攻撃用プログラムは、一般に公開されている


◆情報ソース:
・The Debian Project (DSA-199-1), Nov. 19, 2002

◆キーワード:
 Other: Server application Debian: GNU/Linux 2.3x
 Debian: GNU/Linux 2.2x

◆分析:
 (iDEFENSE 米国) 残念なことに、ほとんどのXSS攻撃では、正しくデータをフィルタして全てのHTMLタグを削除するなどの攻撃の防止は、攻撃される側の責任となる。しかしながらHTMLタグは様々な形で作成することが可能であり、ファイル中に散在していることも多い。さらには、サニタイジング・フィルタそのものを利用してHTMLタグを作成することも可能である。

◆検知方法:
 次の製品及びベンダーで脆弱性が確認されている。

・バージョン2.5.12以前のMhonArcで脆弱性が確認されている。
・Debian 2.2 (potato)及び3.0 (woody)で脆弱性が確認されている。

◆ベンダー情報:
 次のアップデートパッケージ及びソースコードが発表されている。

・アップデートされたMhonArcのソースコードは、 http://www.oac.uci.edu/indiv/ehood/mhonarc.html で入手可能。
・アップデートされたDebian Projectパッケージは、 http://www.debian.org/security/2002/dsa-199 で入手可能。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【12:32 GMT、11、20、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×