[118] v4.04以前の場合のCookieを利用したクロスサイト・スクリプティングへの対応をしてみました
|
- 日時: 2014/05/16 22:55
- 名前: きりしま◆.CzKQna1OU
ID:6xZN/UkY
- http://www.kent-web.com/bbs/patio.html
にある、
【注意】 旧バージョンであるVer 4.04以前のWEB PATIOにクロスサイト・スクリプティングの脆弱性が発見されました。
Ver 4.04以前をご利用の方は、Ver 4.5以降にバージョンアップするようにしてください。
詳細は次のとおりです。届出者及び報告機関へは、この場を借りて御礼を申し上げます。
・報告元:JPCERT/CC
・届出者(1):東内裕二氏
・届出者(2):匿名
・脆弱性の内容:
(1) v3.1以前の場合、URL入力欄を利用した悪用(クロスサイト・スクリプティング)が可能。ただし、v3.4以降は問題なし。
(2) v4.04以前の場合、Cookieを利用した悪用(クロスサイト・スクリプティング)が可能。ただし、スクリプトが実行されるのは改変された Cookie を利用するブラウザ上であり、第三者に対してクロスサイト・スクリプティングの脆弱性を利用するためには、Cookie Monster など別の手法を用いて、あらかじめ対象者の Cookie を変更しておく必要があります。そのため、脅威となる可能性は極めて低いと考えます。
(2)への対応をしてみました。
(1)はベースとなるバージョンが3.4なので、問題ないと考えます。
しばらく様子をみて問題なさそうなら配布バージョンに反映します。
>>[131] patio_34k110.zip をリリースしました
|
|
