[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
security/dsa-125.wml
郷田です。
タイトル通りの訳ができましたので、チェックお願いいたします。
--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx
<define-tag description>クロスサイトスクリプティング </define-tag>
# http://www.analog.cx/security4.html
<define-tag moreinfo>
<p>Yuji Takahashi さんが、 analog に、クロスサイトスクリプティング
攻撃を可能とするバグを発見しました。攻撃者は、容易に任意のウェブサーバ
のログに任意の文字列を挿入することができます。
この方法で攻撃者は、たとえば任意の JavaScript コードを、誰か他の人が作成し、
第三者の読む analog のレポートに書き込むことができます。
analog は既に、この手の攻撃を避けるため、安全でない文字をエンコード
するように試みてきましたが、その変換は完全ではありませんでした。</p>
<p>この問題は、上流では analog のバージョン 5.22 で修正されています
が、残念ながら、Debian の安定版のディストリビューションに含まれる
analog の古いバージョンにパッチをあてることはかなりの大仕事となってしまうため
断念しました。
</p>
<p>analog のパッケージを早急にアップグレードすることをお勧めします。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-125.data"
# $Id: dsa-125.wml,v 1.1 2002/03/28 08:49:08 joey Exp $
#use wml::debian::translation-check translation="1.1"