◆概要: ベンダー各社は、MhonArcのクロスサイトスクリプティング(XSS)に関する脆弱性を修正するアップデートを発表している。これらのアップデートは、攻撃者が電子メールのヘッダーを使ってMhonArcのHTMLタグフィルタリングをバイパスし、HTMLタグを挿入可能なことに対応するものである。 この問題の攻撃用プログラムは、一般に公開されている◆情報ソース:・The Debian Project (DSA-199-1), Nov. 19, 2002◆キーワード: Other: Server application Debian: GNU/Linux 2.3x Debian: GNU/Linux 2.2x ◆分析: (iDEFENSE 米国) 残念なことに、ほとんどのXSS攻撃では、正しくデータをフィルタして全てのHTMLタグを削除するなどの攻撃の防止は、攻撃される側の責任となる。しかしながらHTMLタグは様々な形で作成することが可能であり、ファイル中に散在していることも多い。さらには、サニタイジング・フィルタそのものを利用してHTMLタグを作成することも可能である。◆検知方法: 次の製品及びベンダーで脆弱性が確認されている。・バージョン2.5.12以前のMhonArcで脆弱性が確認されている。・Debian 2.2 (potato)及び3.0 (woody)で脆弱性が確認されている。◆ベンダー情報: 次のアップデートパッケージ及びソースコードが発表されている。・アップデートされたMhonArcのソースコードは、 http://www.oac.uci.edu/indiv/ehood/mhonarc.html で入手可能。・アップデートされたDebian Projectパッケージは、 http://www.debian.org/security/2002/dsa-199 で入手可能。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【12:32 GMT、11、20、2002】
