[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[SNS Advisory No.73] Usermin Cross-site Scripting Vulnerability
- To: bugtraq-jp@xxxxxxxxxxxxxxxxx
- Subject: [SNS Advisory No.73] Usermin Cross-site Scripting Vulnerability
- From: snsadv@xxxxxxxxx (snsadv)
- Date: Fri, 11 Jun 2004 17:19:42 +0900
----------------------------------------------------------------------
SNS Advisory No.73
Usermin Cross-site Scripting Vulnerability
Problem first discovered on: Sun, 11 Apr 2004
Published on: Fri, 11 Jun 2004
----------------------------------------------------------------------
概要:
-----
Usermin の Webメール機能には、クロスサイトスクリプティングにつながり
うる問題が存在します。
問題:
-----
Usermin は Unix システムの全てのユーザが簡単にメールの受信をしたり、
SSH やメールの転送のための設定を行うことのできるの Web インタフェース
です。
この Web インタフェースを通じてメールの送受信を行うモジュールには問題
があり、受信した HTML メールに含まれたスクリプトが完全に除去されません。
攻撃者はこの問題を利用することで、Cookie 情報を奪取し、システムの不正
操作をすることが可能になります。
問題を確認したバージョン:
-------------------------
Usermin Version 1.070
対策:
-----
Usermin バージョン 1.080 以降へアップグレードを行うことでこの問題を
解消することができます。これは以下の URL より入手可能です。
http://www.webmin.com/
発見者:
-------
山崎 圭吾
謝辞:
-----
Mr. Jamie Cameron
免責:
-----
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あ
るがままの形で提供されます。この情報を適用し生起される結果のリスクは利用
者が負うものとし、株式会社ラックは一切の責任を負わないものとします。
再配布について:
---------------
このアドバイザリの再配布は、下記条件を満たす限り自由です。
発行元 URL として、以下の URL を明記する。
http://www.lac.co.jp/security/csl/intelligence/SNSadvisory/73.html
------------------------------------------------------------------
Secure Net Service(SNS) Security Advisory <snsadv@xxxxxxxxx>
Computer Security Laboratory, LAC http://www.lac.co.jp/security/