アーカイブ
DeleGate Cross Site Scripting Vulnerability
2001年12月28日 | 注意喚起
SNS Advisory No.47
Problem first discovered: 26 Dec 2001
Published: 28 Dec 2001
概要
多機能ProxyサーバプログラムであるDeleGateにはクロスサイトスクリプティングにつながりうる問題があります。
問題
多機能ProxyサーバプログラムであるDeleGateは、特定の条件下においてクロスサイトスクリプティングにつながりうる問題を発生させてしまいます。この条件とは、以下の2つの設定です:
- *"403 Forbidden"エラーが表示されるURLがあること
- *管理者がMOUNTオプションを利用して、独自のエラーメッセージを表示する設定にしていること
この条件を満たす設定が行われている場合、悪意ある攻撃者によって以下のようなURLにアクセスさせられてしまった場合、閲覧者のブラウザ上でJavaScriptコードが自動的に動作してしまう可能性があります。
http://IP_Address_of_DeleGate/<script>alert("aaa");</script>
問題を確認したバージョン
DeleGate/7.7.1
DeleGate/7.7.0
対策
DeleGate/7.8.0へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。
http://www.delegate.org/delegate/
発見者
石塚 聡(ラック)
山崎 圭吾(ラック)