[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

security/dsa-125.wml

From: Mariko GODA <mgoda@xxxxxxxxxxxxx>
Subject: security/dsa-125.wml
Date: Sat, 30 Mar 2002 19:11:54 +0900
X-dispatcher: imput version 20000228(IM140)
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 3.0pl#17]; post only (only members can post)
Message-id: <20020331041107A.mgoda@xxxxxxxxxxxxx>
X-mail-count: 03070
X-mailer: Mew version 1.94.2 on Emacs 20.7 / Mule 4.0 (HANANOEN)

郷田です。

タイトル通りの訳ができましたので、チェックお願いいたします。

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx

<define-tag description>クロスサイトスクリプティング </define-tag>
# http://www.analog.cx/security4.html
<define-tag moreinfo>
<p>Yuji Takahashi さんが、 analog に、クロスサイトスクリプティング
攻撃を可能とするバグを発見しました。攻撃者は、容易に任意のウェブサーバ
のログに任意の文字列を挿入することができます。
この方法で攻撃者は、たとえば任意の JavaScript コードを、誰か他の人が作成し、
第三者の読む analog のレポートに書き込むことができます。
analog は既に、この手の攻撃を避けるため、安全でない文字をエンコード
するように試みてきましたが、その変換は完全ではありませんでした。</p>

<p>この問題は、上流では analog のバージョン 5.22 で修正されています
が、残念ながら、Debian の安定版のディストリビューションに含まれる
analog の古いバージョンにパッチをあてることはかなりの大仕事となってしまうため
断念しました。
</p>

<p>analog のパッケージを早急にアップグレードすることをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-125.data"
# $Id: dsa-125.wml,v 1.1 2002/03/28 08:49:08 joey Exp $

#use wml::debian::translation-check translation="1.1"

Prev by Date: Debian Weekly News 2002/3/20
Previous by thread: Debian Weekly News 2002/3/20
Index(es):
- Date
- Thread