[stalk:01343] Re: CobaltRaQ シリーズ、 Qube3 のCGIWrapにてクロスサイトスクリプティング脆弱性

["K-IM" <k-imaiz@xxxxxxxxxxxxxxxxx>]

シルバーホテル今泉です。

>なお、パッチを宛て次第、
>いったい、Cgiwrap関連にてどのような脅威があったのかの
>詳細かつ具体的な例をご報告申し上げたいと思います。

というわけで、まずは、
「CobaltRaQ シリーズ、 Qube3 のCGIWrapにてクロスサイトスクリプティング脆弱性」
の概要を申し上げます。以下、RaQと略称します。

今回のPKGにおいて私が予想していたFIX要件は以下の通りです。
すなわち、CGIWrapのver3.7において解決されたクロスサイトスクリプティング脆弱性
を、RaQにおいても適用するFIXを予想していたわけです。

パッケージ導入において、無事にFIXしていることを確認いたしました。

●参考文献
http://memo.st.ryukoku.ac.jp/archive/200107.month/896.html


【ところが】
今回RaQで適用されたFIXは、全く別のCGIWrap周辺のクロスサイトスクリプティング脆
弱性のFIXも含んでおり、このFIXにて、一部のホスティング業者の運用において
運用ルールの変更が必要となる事態となりました。
このため、従来公開していなかった、ある種の脆弱性、そして、RaQだけではなく
すべての、CGIWrapを使うサーバにおいて露呈する脆弱性をご報告し、対処を
していただくことになりました。

RaQ特有のお話しは、既にコバルトユーザ会のＭＬにて発表済みですので
興味のあるかたは、そちらをあたってください。
■コバルトユーザ会、およびにメーリングリスト
http://cobaltqube.org/index-j.html
http://cobaltqube.org/index-j.html#ml
メーリングリストはcoba-qとcoba-dの二つがあります。

一般のサーバにおける、危険性およびに
その対処方法については、別スレッドをたてまして
そちらでご報告申し上げます。

なお、急遽書きますので多少のタイムラグがございます。
今しばらく、お待ちくださいませ。

以上、宜しくお願い申し上げます。

シルバーホテル
今泉克美


--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　 　★タダで着メロ。もらわなきゃ大損。賢いあなたは・・・
　　　　　　 http://mero.www.infoseek.co.jp/pc/?svx=971122