[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: /security/2007/dsa-1383

From: Seiji Kaneko <skaneko@xxxxxxxxxxxx>
Subject: Re: /security/2007/dsa-1383
Date: Fri, 5 Oct 2007 22:23:54 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-www@debian.or.jp
References: <20071005123917.08524a7a.henrich@xxxxxxxxxxxxxx>
Message-id: <47063AE5.8070407@xxxxxxxxxxxx>
X-mail-count: 11696
User-agent: Thunderbird 2.0.0.6 (Macintosh/20070728)

かねこです。

Hideki Yamane さんは書きました:

> 共同開発作業用ツール Gforge にクロスサイトスクリプティング (XSS) 
> 脆弱性が見つかりました。この問題によって、攻撃者が任意の web スクリプトや HTML 
> を、ログインしているユーザセッションの権限下でリモートから挿入可能となっています。</p>

セッション権限ではなく、原文通りコンテキストです。XSS は
任意コード実行などとは違い、セッションの情報そのものが抜
けるので。

-- 
--
Seiji Kaneko

References:
- /security/2007/dsa-1383
  - From: Hideki Yamane

Prev by Date: /security/2007/dsa-1356
Next by Date: Debian Web site Translation Update
Previous by thread: /security/2007/dsa-1383
Next by thread: /security/2007/dsa-1381
Index(es):
- Date
- Thread