security/2005/dsa-674.wml

[Hideki Yamane <henrich@xxxxxxxxxxxxxx>]

　やまねです。

　security/2005/dsa-674.wml　を訳してみました。

------------------------------------------------------------------------------
#use wml::debian::translation-check translation="1.3"
<define-tag description>クロスサイトスクリプティング, ディレクトリ間の不正な移動</define-tag>
<define-tag moreinfo>
<p>手違いによって前回の mailman の更新は多少問題があり、修正が必要でした。
&nbsp;この勧告は、DSA 674-1 に対するアップグレードについての更新のみを行います。
&nbsp;完全を期するため、オリジナルの勧告文を以下に記載します:</p>

<blockquote>
<p>ウェブベースの GNU メーリングリストマネージャ、mailman に 2 つの
セキュリティ関連の問題が発見されました。The Common Vulnerabilities and 
Exposures project では以下の問題を認識しています:</p>

<ul>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1177";>CAN-2004-1177</a>

    <p>Florian Weimer さんは、mailman が自動生成するエラーメッセージに
    クロスサイトスクリプティング脆弱性を発見しました。攻撃者は Javascript 
    (あるいは HTML に埋め込んだ他のコンテンツ) を含んだ URL によって、
    悪意を持ったコードをそのまま含んだ mailman のエラーページを作り出す
    細工が可能です。</p>

<li><a
href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0202";>CAN-2005-0202</a>

    <p>複数のメーリングリスト管理者が、非公開であるメーリングリストアーカイブ
    やユーザパスワードを含むメーリングリストの設定自体へのアクセスがあった
    ことに気がつきました。
    管理者らに対しては、ウェブサーバのログファイルに "/...../" とアーカイブ
    または設定ファイルへのパスが含まれたリクエストの有無をチェックすること
    を推奨します。これは、Apache 1.3 のようなスラッシュ '/' を切捨てない
    ウェブサーバ上で稼動しているもののみに影響します。</p>

</ul>
</blockquote>

<p>安定版ディストリビューション (stable、コードネーム woody) では、
これらの問題はバージョン 2.0.11-1woody10 で修正されています。</p>

<p>不安定版ディストリビューション (unstable、コードネーム sid) では、
これらの問題はバージョン 2.1.5-6 で修正されています。</p>

<p>mailman パッケージのアップグレードをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2005/dsa-674.data"