2007年12月20日

[Apache-Users 6944] Re:apache httpd 1.33.40-devはどこに?

** Apache ユーザーズメーリングリスト **
** 注意:このメールへの返信は Apache-Users へ行きます **

こんばんは。

> > Apache 1.3.39にはmod_imapなどに、クロスサイトスクリプティングの脆弱性が
> > あるようですが、対処した1.3.40-devはどこで入手できるでしょうか。

たった3行の修正ですし、他のモジュールなどへの影響はちょっと考えにくい部分
なので、ご心配なら自分でソース修正してビルドしちゃってもいいかも。
使ってないなら外しちゃった方がいいですけれど。

> imap 使っていなければ、問題ないだろうし、そもそも(クロスサイト)
> スクリプティングってブラウザの脆弱性なんだけどな。

クロスサイトスクリプティングがブラウザの脆弱性って、どういう意味でしょうか?
「HTML生成処理に不具合があり、外部からのJavascriptなどのコードの混入を許してしまう」
ことだと認識してたのですが、HTMLの構文解析を行うブラウザの方の問題だってこと
でしょうか? そういう意見は目にしたことがないので。。


標準で組み込まれるモジュールに、典型的なXSS脆弱性が今更見つかるって
ことに私は不安を感じてしまうんですが、少数派なのかなあ?
誰も使ってないから見過ごされてきたって気はしますが、2年ほど前にかなり
似た脆弱性が修正されてますよね。
--
入退会・変更・配送一時停止は以下へ
http://mm.apache.jp/mailman/listinfo/apache-users

投稿者 xml-rpc : 2007年12月20日 20:27
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/67831
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。