=============================================================================
hns-SA-2006-02                                       HyperNikkiSystem Project
                                                         http://www.h14m.org/

トピック:	webif.cgi XSS脆弱性

告知日:		2006年11月5日
影響範囲:	修正日より前の全てのhns
修正日:		2006年11月5日


I.   背景 - Background

webif.cgi は日記の編集を web 上で行う cgi プログラムです．


II.  問題の詳細 - Problem Description

webif.cgi にXSS脆弱性が存在しました．


III. 影響範囲 - Impact

悪意のある第三者が、ユーザ(日記管理者)を攻撃サイトに誘導する等して、
ユーザ(日記管理者)のブラウザ上で悪意あるスクリプトを実行される可能性があ
ります。

これにより，
管理者のID (cookie) を窃取でき，管理者権限を奪える可能性があります．

管理者権限が奪取された場合，日記の改竄や削除，秘密日記の閲覧
などが可能となります．


IV.  回避方法 - Workaround

webif.cgi の実行権限を落とし、起動できないようにして下さい。


V.   解決策 - Solution

hns-2.19.9 にバージョンアップしてください．

hns-2.19.9 は， hns-current ブランチから抽出された，最新の hns です．
このバージョンは，安定性は高いものの，未だ「ベータ版」であることに注意して
ください．

hns-1 系列と hns-2.00 系列および hns-2.10 系列に関して， 
HyperNikkiSystem Project ではあらゆるメンテナンスを行っていません．
当該系列の hns を使用しているユーザーには，
速やかに hns-2.19(2.20) 系列に移行される事を強く望みます．


VI.  修正の詳細 - Correction details

次の表は今回修正されたファイルの $Id$ リビジョン番号です．


パス名                                              リビジョン番号
--------------------------------------------------------------------------
hns-perl/public_html/diary/webif.cgi.in             1.27     (hns-current)
--------------------------------------------------------------------------


VII. クレジット

この脆弱性は，発見者によって情報処理推進機構(略称: IPA)に届出られたもので，
JPCERTコーディネーションセンター(略称: JPCERT/CC)の協力の下，脆弱性関連情報
を提供していただきました.ご報告に感謝します．


VIII. 参考資料 - References

特にありません．
=============================================================================