アーカイブ
AN HTTPD Cross-site Scripting Vulnerability
2002年10月28日 | 注意喚起
SNS Advisory No.57
Problem first discovered: 23 Oct 2002
Published: 28 Oct 2002
概要
Windows 95/98/Me/NT/2000用のHTTPサーバであるAN HTTPDのバージョン 1.41dには、クロスサイトスクリプティングを発生させてしまう可能性のある問題が含まれています。
問題
AN HTTPDは、クライアントからのHTTPリクエスト中のURIに":"が含まれている場合にエラーページを表示します。このエラーページ中には、リクエストURIが適切にサニタイズされずに挿入されているため、クロスサイトスクリプティングの問題を発生させてしまう可能性があります。
問題を確認したバージョン
AN HTTPD 1.41d
問題を確認したOS
Windows 2000 Server + SP3
対策
AN HTTPD 1.41eへアップグレードを行うことでこの問題を解消することができます。
AN HTTPD 1.41e:
http://www.st.rim.or.jp/?nakata/
発見者
山崎 圭吾
謝辞:
中田昭雄氏