[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: cgiemail po-debconf 訳
- From: kamo@xxxxxxxxxxxxxx (KAMO Tomoyuki)
- Subject: Re: cgiemail po-debconf 訳
- Date: Wed, 21 Jul 2004 00:06:15 +0900
- List-help: <mailto:debian-doc-ctl@debian.or.jp?body=help>
- List-id: debian-doc.debian.or.jp
- List-owner: <mailto:debian-doc-admin@debian.or.jp>
- List-post: <mailto:debian-doc@debian.or.jp>
- List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
- List-unsubscribe: <mailto:debian-doc-ctl@debian.or.jp?body=unsubscribe>
- X-legged: Sally
- X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-doc-ctl@debian.or.jp; help=<mailto:debian-doc-ctl@debian.or.jp?body=help>
- X-ml-name: debian-doc
- X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
- X-original-to: debian-doc@debian.or.jp
- X-spam-level:
- X-spam-status: No, hits=-2.2 required=10.0 tests=IN_REP_TO,ISO2022JP_BODY,ISO2022JP_CHARSET, QUOTED_EMAIL_TEXT,RCVD_IN_ORBS,REFERENCES, SPAM_PHRASE_00_01,USER_AGENT version=2.44
- References: <200407091622.i69GLCmi026307@xxxxxxxxxxxxxxxxx>
- Message-id: <200407201506.i6KF6Eb04734@xxxxxxxxxxxxxxxxxxx>
- X-mail-count: 03960
- User-agent: Wanderlust/2.11.24 (Wonderwall) SEMI/1.14.6 (Maruoka) FLIM/1.14.6 (Marutamachi) APEL/10.6 MULE XEmacs/21.4 (patch 15) (Security Through Obscurity) (i386-debian-linux)
かもです。
From: Hideki Yamane <henrich@xxxxxxxxxxx>
Date: Sat, 10 Jul 2004 01:22:34 +0900
Subject: cgiemail po-debconf 訳
>> やまねです。
>>
>> cgiemail の po-debconf 訳です。査読願います。
>> #. Description
>> #: ../templates:4
>> msgid ""
>> "In old versions of cgiemail, templates that were used for creating e-mails "
>> "to be sent could be placed anywhere that would be served up by the web "
>> "server. This behaviour is a security vulnerability: an attacker can read "
>> "files that he shouldn't be able to, such as scripts in cgi-bin, if they "
>> "contain certain pieces of text."
>> msgstr ""
>> "cgiemail の以前のバージョンでは、送信されるメールの作成に使われる web サーバ"
>> "が出力するテンプレートは、どこにでも配置できました。この挙動はセキュリティ上"
>> "の脆弱性となります: テンプレートがそのようなテキストの一部を含んでいた場合、"
>> "攻撃者が cgi-bin にあるスクリプトのような読めるべきではないファイルを読める"
>> "ことになります。"
cgiemail の以前のバージョンでは、送信されるメールの作成に使われるテン
プレートは、web サーバが使用するディレクトリならどこにでも配置できまし
た。この挙動はセキュリティ上の脆弱性となります: テンプレートがある種の
文字列を含んでいた場合、cgi-bin にあるスクリプトのような読めるべきでは
ないファイルを攻撃者が読めることになります。
"if they contain certain pieces of text" というのは、たとえば
http://web.mit.edu/wwwdev/cgiemail/user.html#template に列挙された条件
を満たす場合、でしょう。
===
加茂智之 ◇ kamo@xxxxxxxxxxxxxx