[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

security/2002/dsa-163.wml & dsa-164.wml

From: Mariko GODA <mgoda@xxxxxxxxxxxxx>
Subject: security/2002/dsa-163.wml & dsa-164.wml
Date: Fri, 13 Sep 2002 23:23:07 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-dispatcher: imput version 20000228(IM140)
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-level: **
X-spam-status: No, hits=2.1 required=10.0 tests=ISO2022JP_BODY,CASHCASHCASH,US_DOLLARS_2,UPPERCASE_25_50 version=2.31
Message-id: <20020913232316T.mgoda@xxxxxxxxxxxxx>
X-mail-count: 03667
X-mailer: Mew version 1.94.2 on Emacs 20.7 / Mule 4.0 (HANANOEN)

郷田です。

標題の、DSA の wml 版の訳ができました。
添付にて投稿いたします。
165 は明日投稿予定です。  

--
郷田まり子 [Mariko GODA]
東京大学工学部建築学科3年
private: mgoda@xxxxxxxxxxxxx
Univ. of Tokyo: g040763@xxxxxxxxxxxxxxxxxxxxxx

<define-tag description>任意コードの実行</define-tag>
<define-tag moreinfo>
<p>cacti (PHP ベースの、システムとサービスのモニタリングツール rrdtool
のフロントエンド) に問題が発見されました。
この問題により、ウェブサーバのユーザ ID で cacti に任意の
プログラムコードを実行させることができます。
ただし、この問題は、既に cacti システムの管理者権限を持っている人
によってのみ攻撃可能です。</p>

<p>
この問題は、タイトル文字列から '$' 文字と '\' 文字を除去することで、
現安定版 (stable)(woody) ではバージョン 0.6.7-2.1 で、
不安定版 (unstable)(sid) ではバージョン 0.6.8a-2 で各々修正されています。
なお、旧安定版 (potato) は cacti パッケージを含まないため、この
問題の影響を受けることはありません。
</p>

<p>cacti パッケージを早急にアップグレードすることをお勧めします。</p>
</define-tag>

#use wml::debian::translation-check translation="1.2"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-164.data"
# $Id: dsa-164.wml,v 1.2 2002/09/10 14:14:28 alfie Exp $

<define-tag description>クロスサイトスクリプティング</define-tag>
<define-tag moreinfo>
<p>Jason Molenda さんと 高木浩光さんにより、mhonarc
(メールを HTML に変換するコンバータ) に、
クロスサイトスクリプティングのバグを突いて攻撃する手法が
<a href="http://online.securityfocus.com/archive/1/268455";>発見</a>されました。
悪意をもって細工された text/html タイプのメールを処理するとき、
mhonarc はすべてのスクリプト部分を適切に無効化していませんでした。
この問題は、上流のバージョン 2.5.3 で修正されています。</p>

<p>セキュリティが心配な場合、メールアーカイブの text/html メッセージの
サポートを無効にすることをお勧めします。
mhtxthtml.pl ライブラリが、HTML データにからんで起こりうる
すべての攻撃を防ぐだけの頑強さを持ちあわせているという保証がないからです。

<p>HTML データを除外するには、MIMEEXCS リソースを使います。例えば:</p>

<pre>
    &lt;MIMEExcs&gt;
    text/html
    text/x-html
    &lt;/MIMEExcs&gt;
</pre>

<p>"text/x-html" タイプを使用することはおそらくもうないでしょうが、
念のためにこれも含めておくのが良いでしょう。
</p>

<p>一部のメッセージの内容全体を除外しようとお考えの場合には、
上記の代わりに下記のような方法となります。</p>

<pre>
    &lt;MIMEFilters&gt;
    text/html; m2h_text_plain::filter; mhtxtplain.pl
    text/x-html; m2h_text_plain::filter; mhtxtplain.pl
    &lt;/MIMEFilters&gt;
</pre>

<p>これは、HTML を text/plain</p>

<p>上記の問題は、現安定版 (stable)(woody) ではバージョン 2.5.2-1.1 で、
旧安定版 (potato) ではバージョン 2.4.4-1.1 で、
不安定版 (unstable)(sid) ではバージョン version 2.5.11-1 で
各々修正されています。
</p>

<p>mhonarc パッケージをアップグレードすることをお勧めします。
</p>
</define-tag>

#use wml::debian::translation-check translation="1.4"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-163.data"
# $Id: dsa-163.wml,v 1.4 2002/09/10 07:29:37 alfie Exp $

Follow-Ups:
- Re: security/2002/dsa-163.wml & dsa-164.wml
  - From: KISE Hiroshi

Prev by Date: Debian Web site Translation Update
Next by Date: Re: security/2002/dsa-163.wml & dsa-164.wml
Previous by thread: Re: [proposal] Book.html
Next by thread: Re: security/2002/dsa-163.wml & dsa-164.wml
Index(es):
- Date
- Thread