[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: security/2006/dsa-1207.wml
æ‰å±±ã§ã™ã€‚
On Sat, 16 Dec 2006 22:19:51 +0900, KISE Hiroshi wrote:
> From: SUGIYAMA Tomoaki <tomos@xxxxxxxxxxxxxxxx>
> Subject: security/2006/dsa-1207.wml
> Date: Wed, 13 Dec 2006 02:10:45 +0900
> > <li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-3621">CVE-2005-3621</a>
> >
> > <p>CRLF 挿入脆弱性ã«ã‚ˆã‚Šã€ãƒªãƒ¢ãƒ¼ãƒˆã®æ”»æ’ƒè€…ãŒ
> > HTTP レスãƒãƒ³ã‚¹åˆ†å‰²æ”»æ’ƒã‚’引ãèµ·ã“ã™ã“ã¨ãŒå¯èƒ½ã§ã™ã€‚</p></li>
> “injectionâ€ã¯ã€è¨³ã•ãšãã®ã¾ã¾ã«ã™ã‚‹ã‹ã€ã€Œã‚¤ãƒ³ã‚¸ã‚§ã‚¯ã‚·ãƒ§ãƒ³ã€ã¨
> 表記ã™ã‚‹ã“ã¨ãŒå¤šã„よã†ã§ã™ã€‚ã»ã‹ã®ãƒšãƒ¼ã‚¸ã§ã‚‚「挿入ã€ã§æƒãˆã¦
> ã„ã‚‹ã®ã§ã—ãŸã‚‰ã€ãã‚Œã§ã‹ã¾ã„ã¾ã›ã‚“ãŒã€‚
ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚
自分ãŒä½œæ¥ã—ãŸåˆ†ã«é–¢ã—ã¦ã¯ã€Œæ³¨å…¥ã€ã¨ã—ã¦ã„ã¾ã—ãŸã€‚以å‰ï¼ŒãŸã—ã‹ä¸é‡Ž
ã•ã‚“ã« SQL インジェクションを例ã«ã€Œã‚¤ãƒ³ã‚¸ã‚§ã‚¯ã‚·ãƒ§ãƒ³ã€ã¨ã—ã¦ã¯ï¼Œã¨
ã„ã†æ¡ˆã‚’ã„ãŸã ã„ãŸã®ã§ã™ãŒï¼ŒSQL インジェクション以外ã®å ´åˆï¼Œã‚¤ãƒ³ã‚¸
ェクションãŒä¸€èˆ¬çš„ãªã®ã‹ã©ã†ã‹ã‚ˆã分ã‹ã‚‰ãªã‹ã£ãŸã®ã§ï¼Œã€Œæ³¨å…¥ã€ã®
ã¾ã¾ã«ã—ã¦ã„ã¾ã—ãŸã€‚
今回ã®å ´åˆï¼Œä¸Šè¨˜ã«æ²¿ã†ãªã‚‰ã°ã€ŒCRLF 注入脆弱性ã€ã¨ã—ãŸã‹ã‚‚ã—ã‚Œã¾ã›ã‚“
ãŒï¼Œã‹ãã“ã•ã‚“訳ã«ã€ŒCRLF 挿入脆弱性ã€ã¨ã‚り,Google ã§ã®æ¤œç´¢ã§ã‚‚
数件ã²ã£ã‹ã‹ã£ã¦ããŸã®ã§ã€ŒCRLF 挿入脆弱性ã€ã¨ã—ã¦ã„ã¾ã—ãŸã€‚
(「CRLF インジェクション脆弱性ã€ã‚‚「CRLF 注入脆弱性ã€ã‚‚検索ã§ã¯
該当ページãŒè¦‹ã¤ã‹ã‚‰ãš)
ã¨ã„ã†ã‚ã‘ã§ï¼Œç‰¹ã«ã€ŒæŒ¿å…¥ã€ã«æƒãˆã¦ã„ã‚‹ã¨ã„ã†ã“ã¨ã¯ã‚ã‚Šã¾ã›ã‚“。
éŽåŽ»ã® DSA ã®ãƒšãƒ¼ã‚¸ã§ã¯ï¼Œjapanese/security/2002/dsa-168.wml ã‚„
japanese/security/2002/dsa-210.wml ã§ã€ŒCRLF ã®æŒ¿å…¥ã€ã¨ã•ã‚Œã¦ã„ãŸ
よã†ã§ã™ã€‚ä»–ã«ã‚‚ 2006 å¹´ã® dsa-944.wml,dsa-988.wml,dsa-1002.wml,
dsa-1207.wml 㧠"CRLF injection vulnerability" ãŒã‚るよã†ã§ã™ãŒï¼Œ
残念ãªãŒã‚‰ï¼Œãれらã¯ã¾ã 訳ã•ã‚Œã¦ã„ã¾ã›ã‚“。
ã§ã‚‚実際ã«ã€Œã‚¤ãƒ³ã‚¸ã‚§ã‚¯ã‚·ãƒ§ãƒ³ã€ã¨è¡¨è¨˜ã™ã‚‹ã“ã¨ã®æ–¹ãŒå¤šã,分ã‹ã‚Šã‚„ã™
ã„よã†ã§ã—ãŸã‚‰ï¼Œãã®ã‚ˆã†ã«ã—ãŸæ–¹ãŒè‰¯ã„ã®ã‹ãªãã¨æ€ã„ã¾ã™ã€‚
ã©ã†ã—ã¾ã—ょã†?
# å˜ã« "injection" ã®å ´åˆã¨ "CRLF injection vulnerability" ã®å ´åˆ
# ã¨ã§ã¯è¨³ã—分ã‘ãŒå¿…è¦ã¨ã„ã†ã“ã¨ã‚‚ã‚ã‚‹?
--
æ‰å±±å‹ç«