[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:4511] Re: CGIWrap周辺にてクロスサイトスクリプティング脆弱性

K-IMです。

自己レスです。
新たな展開がありましたので表題を変えました。
■CGIWrap周辺にてクロスサイトスクリプティング脆弱性■

◇まずCobaltローカルな話。
1Cobaltサーバ用の修正PKGなのですが、日本版のみ金曜日(7/26)に
ダウンロード可となっておりますが、アメリカでは、本日(7/29)の朝に
なっても配布されていません。不思議なことです。日本だけフライング
だったのかしらん?日本版は、RaQ3に適用して、極めて良好であること
を確認しました。
ISPやホスティング業者さん、Web領域レンタル屋さん、よろしく
お願いいたします。結構使われているのですね、Cobaltサーバ。

◇一般のサーバのお話し。
CGIWrapを搭載しているサーバでは、最新のver3.71のCGIWrapを適用して
いるところが多いかと思います。

1:ver3.7未満では、CGIWrapにクロスサイトスクリプティング脆弱性が
あります。
#こちらはもちろん対処済みですよね?

2:ver3.7以上では、メジャーなブラウザ、IEやオペラの動作が
不良な為に、
CGIWrapのデバッグモードを呼び出すURLに細工をすることにより、
クロスサイトスクリプティング脆弱性が発現してしまいます。
これは、CGIWrapのせいではなく、IEやオペラのせいです。

上記の2番が、このメールの冒頭で触れた、「新たな展開」です。
修正PKGを適用する前の段階では、この展開を予想しておりません
でしたので、Cobalt関連の情報であるというSubjectを本MLに
投稿しておりました。

重ねて申し上げますが、Cobaltサーバだけではありません。
注意喚起したいと思います。

既にCobaltサーバ管理者には公になりましたので、他のサーバに
おかれましても、CGIWRAPを使っているならば、早急に対処が
望まれます。

対処策をザックリ言えば、CGIWrapを使用しつつも、CGIWrapの
デバッグモードをアクセス不可にすればOKとなります。


主な、情報は以下で論議したいと考えております。
●Security Talk メーリングリスト
http://www.office.ac/Security_Talk_ML_Guide.html
●セキュリティホール memo メーリングリスト
http://memo.st.ryukoku.ac.jp/


以上、概略ではありますが、よろしくお願いいたします。

シルバーホテル
今泉克美



--[PR]------------------------------------------------------------------
      【FreeML とっても便利なMyPage ご利用ですか?】
        ユーザー登録するだけで、かんたんML管理!
         MLごとにニックネームもつけられる!
        いまなら、ご登録キャンペーンも実施中♪
     ▼ 今すぐ登録! => http://www.freeml.com/campaign/
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp