blob: 61b525e2526f8f3137d3c8a735b9ae184e22cb51 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
#use wml::debian::translation-check translation="01f94cf5aa504f52450ff07a077c65574745571d"
<define-tag description>クロスサイトスクリプティング</define-tag>
<define-tag moreinfo>
<p>複数のクロスサイトスクリプティング脆弱性が PHP4
で書かれた機能豊富なウェブメールパッケージである squirrelmail
に見つかりました。The Common Vulnerabilities and Exposures (CVE) project
は以下の脆弱性を認識しています:</p>
<ol>
<li>CAN-2002-1131: ユーザ入力のサニタイズを行っていないことがあるため、
クライアントコンピュータで任意のコードを実行することが可能です。
これは悪意のある URL
をたどる、あるいは悪意のあるアドレス帳エントリを表示することで発生します。</li>
<li>CAN-2002-1132: 別の問題により、攻撃者が機密情報を獲得可能になる状況があります。
異常な引数をリンクに追加すると、
スクリプトの絶対パス名が含まれるエラーページが生成されます。
しかし、この情報は結局ディストリビューションの Contents
ファイルから得られるものです。</li>
</ol>
<p>この問題は現在の安定版 (stable) ディストリビューション (woody)
ではバージョン 1.2.6-1.1、不安定版 (unstable) ディストリビューション
(sid) ではバージョン 1.2.8-1.1 で修正されています。
旧安定版 (old stable) ディストリビューション (potato) には
squirrelmail パッケージが含まれないため影響はありません。</p>
<p>直ちに squirrelmail パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-191.data"
|