アーカイブ
SquirrelMailにおけるクロスサイトスクリプティングの脆弱性
2006年4月24日 | 注意喚起
SNS Advisory No.86
Problem first discovered on: Tue, 15 Nov 2005
Published on: Tue, 4 Apr 2006
Modifid on: Mon, 24 Apr 2006
脅威度
中
概要
WebメールシステムであるSquirrelMailには、HTMLメールに含まれるスクリプトを適切に除去できていない問題が存在しています。
詳細
SquirrelMailは、PHP言語で開発されたウェブメールシステムです。
SquirrelMailには、受信したHTMLメールを表示する際に、スクリプトを除去して安全に表示する機能が備わっています。
しかしながら、このスクリプトの除去機能には抜けが存在しています。
このため、攻撃者から、この問題を悪用するHTMLメールを受け取り、表示してしまった場合に、本人になりすまされてシステムを操作されてしまうなどの被害を受ける恐れがあります。
影響のあるバージョン
SquirrelMail 1.4.0~1.4.6 Release Candidate
対策
SquirrelMail 1.4.6以降のバージョンにアップデートしてください。
http://www.squirrelmail.org/download.php
発見者
山崎 圭吾(ラック)
謝辞:
本問題は、情報処理推進機構(IPA)、およびJPCERT/CCによる『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN%2383263796/index.html
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_83263796_SquirrelMail.html