blob: 90fac28decdc832deb53ffc3a58e5717d81a87c2 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
<define-tag description>クロスサイトスクリプティング </define-tag>
# http://www.analog.cx/security4.html
<define-tag moreinfo>
<p>高橋勇仁さんが analog にクロスサイトスクリプティング攻撃を許してしまう
バグを発見しました。攻撃者からウェブサーバのログファイルに任意の文字列
を入力することは比較的容易です。この文字列が analog で解析された場合、
それは解析レポートに現れます。これを使って、攻撃者が任意の Javascript
コードを、例えば、ある管理者が作成して第三者が読む analog の出力レポ
ートに埋め込むことが出来ます。analog は既に危険な文字をエンコードして
この種の攻撃を防ぐようにしていましたが、この際の変換が不完全でした。</p>
<p>この問題は上流では analog のバージョン 5.22 で修正されています。残念な
がら、安定版 (stable) に含まれる古いバージョンに修正をバックポートする
ことはあまりにも作業量が多く、断念しました。</p>
<p>直ぐに analog パッケージをアップグレードすることを薦めます。
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-125.data"
# $Id$
#use wml::debian::translation-check translation="12022c9b5ed3b90ab893c8e17490567430523e27"
|
