Analog: セキュリティ 警告

セキュリティ 勧告                                        2002年3月20日
----------------------------------------------------------------------
プログラム：analog
バージョン：5.23より以前のすべて
OS：すべて
----------------------------------------------------------------------
高橋勇仁氏がクロスサイトスクリプティングによる攻撃を許すバグをAnalogに
発見しました。

攻撃者はWebサーバのログに簡単に任意の文字列を挿入することができます。も
しこれらの文字列がAnalogにより解析されると、レポートに表示されます。こ
の方法により、攻撃者は任意のジャバスクリプトのコードを、例えば、誰かに
より作成され、第3者に読まれるAnalogのレポート中にもぐり込ませることが
可能です。Analogは、この種の攻撃に対して危険な文字をすでにエンコードし
てきました。しかし、変換は完全ではありませんでした。

このバグが利用されているという報告はありませんが、利用するのは簡単であ
り、全てのユーザはバージョン5.22にアップグレードすることを勧めます。
AnalogのURLは、http://www.analog.cx/ です。

高橋勇仁、高橋基信、松木孝幸の各氏にこのバグに関する助言を感謝します。

                                                        Stephen Turner
                                         analog-author＠lists.isite.net