============================================================================= hns-SA-2002-03 HyperNikkiSystem Project http://www.h14m.org/ トピック: クロスサイトスクリプティング脆弱性 告知日: 2002年3月31日 影響範囲: 修正日より前の全ての hns 修正日: 2002年2月29日 I. 背景 - Background hns は、ウェブ日記システムです。 II. 問題の詳細 - Problem Description hns は、日付を指定して任意の日付の日記を表示できます。また、カレンダー が標準で表示されます。今回このカレンダー表示部分にクロスサイト スクリプティング(CSS) 脆弱性が発見されました。 III. 影響範囲 - Impact リモートの攻撃者は,悪意あるタグを含ませたリクエストを、 あるユーザーから hns へに送らせる事により,そのユーザーの RURIコード 等を盗む事ができます。 IV. 回避方法 - Workaround カレンダーの表示を off にする。 V. 解決策 - Solution hns-2.10-pl3 もしくは hns-2.19.4 にバージョンアップしてください。 hns-2.10-pl3 は、hns-stable ブランチからリリースされた安定した hns です。 hns-2.19.4 は、hns-current ブランチから抽出された、最新の hns です。 このバージョンは、安定性は高いものの、未だ「ベータ版」であることに注意して ください。 hns-1 系列と hns-2.00 系列に関して、HyperNikkiSystem Project ではあらゆる メンテナンスを行っていません。当該系列の hns を使用しているユーザーには、 速やかに hns-2.10 系列に移行される事を強く望みます。 VI. 修正の詳細 - Correction details 次の表は今回修正されたファイルの $Id$ リビジョン番号です。 パス名 リビジョン番号 -------------------------------------------------------------------------- hns-perl/public_html/diary/lib/HNS/Calendar/NoTable.pm 1.17 (hns-current) hns-perl/public_html/diary/lib/HNS/Calendar/Table.pm 1.19 (hns-current) hns-perl/public_html/diary/lib/HNS/System.pm 1.17 (hns-current) hns-perl/public_html/diary/lib/CGI/Tools.pm 1.3.2.1 (hns-stable) hns-perl/public_html/diary/lib/HNS/Calendar/NoTable.pm 1.11.2.1 (hns-stable) hns-perl/public_html/diary/lib/HNS/Calendar/Table.pm 1.12.2.1 (hns-stable) hns-perl/public_html/diary/lib/HNS/System.pm 1.12.2.1 (hns-stable) -------------------------------------------------------------------------- VII. クレジット この脆弱性は、office氏により発見されました。 VIII. 参考資料 - References 「クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態と その対策」 高木浩光、関口智嗣、大蒔和仁 「Cross-Site Scripting問題とは?」 SysportCore 「Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報」 IPA(情報処理振興事業協会) =============================================================================