MozillaのFTPビューにXSS脆弱性

MozillaのFTPビューにXSS脆弱性 19

ストーリー by yourCat 2002年08月05日 0時18分
1.0にはいろいろあるな…… 部門より

Wildcat曰く、"Eiji James Yoshida氏によりMozilla FTP View Cross-Site Scripting Vulnerabilityが発見されました (bugtraq-jpの投稿のアーカイブもありますが、ここは日本語対応が甘くて文字化けしますね…)。この穴は結構怖いです。クッキーを盗まれるだけならまだしもFTPサイトに繋いだ時に出るファイルへのリンクが偽ファイルに繋がっているかも知れないという、かなり強烈なやつです。最新のMozilla 1.1 Betaを使うかJavaScriptを無効にすれば回避できるそうです。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索19コメント Log In/Create an Account

Galeon for Linux (スコア:3, 参考になる)

by hajimetyan (3875) on 2002年08月05日 3時33分 (#139566) ホームページ

申告ページの後者のデモはGaleon 1.2.5環境でも動作しました。

なお、対策済Mozilla(直リンク) [mozilla.org]

このように使うとよいかも。

--

.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
- Re:Galeon for Linux (スコア:1)
  
  by Shiroyagi (3232) on 2002年08月05日 10時10分 (#139642) ホームページ日記
  
  効果テキメン。
  どのようなバグなのかもよーくわかりました。
  
  今後気をつけます。（涙）
  恥ずかし…（苦笑）
  
  --
  -- しろやぎゆう
  
  シェア
  
  親コメント
JS止めただけでは完全ではない（と思う (スコア:1, 参考になる)

by Anonymous Coward on 2002年08月05日 1時47分 (#139548)

FTP Viewを fake する方は JavaScript(JS)で実現しているものでは
ないので JSを止めるだけではダメだと思います。

今のところ、1.1 Beta か nighlty build、あるいは
手でパッチ当ててビルド... Bug# 何番だろう。
- Re:JS止めただけでは完全ではない（と思う (スコア:2, 参考になる)
  
  by Anonymous Coward on 2002年08月05日 2時48分 (#139557)
  
  ちなみに fake ではなくもう一つの JS の不正な実行については
  site policy の設定で回避できると思います。
  
  たとえば site policy で bugzilla.mozilla.org は許可して
  それ以外は禁止すると、bugzilla.mozilla.org以下のページでは
  JSは動きますがデモにある ftp.mozilla.org を使ったコードは
  動作しません。
  
  http://www.mozilla.gr.jp/ml/logs/moz-users/4800/4884.html [mozilla.gr.jp]
  
  シェア
  
  親コメント
- Re:JS止めただけでは完全ではない（と思う (スコア:0)
  
  by Anonymous Coward
  
  > 手でパッチ当ててビルド... Bug# 何番だろう。
  
  mozilla/netwerk/streamconv/converters/nsIndexedToHTML.cpp [mozilla.org]
  rev 1.28 の修正 [mozilla.org]っぽいですね。
  該当する bug 154030 [mozilla.org] は権限がなくて内容が見れませんが。
  
  日付が 6/25 だったので、
こう立て続けに出てしまっては (スコア:1)

by yororei (9799) on 2002年08月05日 3時59分 (#139569) ホームページ

まずいですね

まあ瞬時に直されているバージョンがあるというのがMozillaのいいところでもあるのですが

信頼の低下は必至ですね・・
- Re:こう立て続けに出てしまっては (スコア:1, 興味深い)
  
  by Anonymous Coward on 2002年08月05日 8時22分 (#139604)
  
  > 信頼の低下は必至ですね・・
  
  Mozillaにセキュリティホールが無いなんていう妄想はどこにもなかったと思いますが。
  むしろ「いかなるソフトウエアにもバグやセキュリティホールは付き物」で、
  それを「誰が」「どのようにして」対処するのかが重要なのであり、
  IEと違って「ベンダーが直さなくても誰かが直せる」という緩やかな対処ができるのがMozillaの存在価値では。
  
  シェア
  
  親コメント
  - Re:こう立て続けに出てしまっては (スコア:0)
    
    by Anonymous Coward
    
    安心しろ、そういう建前がはっきり分かってる奴はお前くらいのもんだから。
- Re:こう立て続けに出てしまっては (スコア:0)
  
  by Anonymous Coward
  
  （こういうコメントは適切でないとは思うが）
  
  FTP View 周りは多少の違いはあれど IE, Mozilla, Opora
  それぞれで問題があったようで。
  
  http://www.geocities.co.jp/SiliconValley/1667/advisory02.html
  http://www.geocities.co.jp/SiliconValley/1667/advisory03.html
  http://www.geocities.co.jp/SiliconValley/1667/advisory04.html
  - Re:こう立て続けに出てしまっては (スコア:1)
    
    by Hebikuzure (489) on 2002年08月05日 17時29分 (#139891) ホームページ日記
    
    IEはW2K SP3で修正されている模様。
    This problem was first corrected in Windows 2000 Service Pack 3. [microsoft.com]との事なので、他のプラットフォーム、バージョンでも順次修正があるのでしょう。
    
    シェア
    
    親コメント
Operaにも (スコア:1)

by Joga (8113) on 2002年08月05日 18時42分 (#139966)

Operaにも同じ問題 [nikkeibp.co.jp]があるようで。
- がいしゅつ (スコア:1)
  
  by Joga (8113) on 2002年08月05日 18時44分 (#139969)
  
  既出だった(^^;)
  
  シェア
  
  親コメント
デモを見たが… (スコア:0)

by Anonymous Coward on 2002年08月05日 2時29分 (#139553)

偽のFTP画面を見せられてる時は、必ずURL欄にあの長ったらしい呪文(笑)がつくんですかね。だとしたら、多少は見分けられる場合もあるかも。とは言っても危険な事に代わりはないですが。

# Wazilla 1.0のまま設定だけいじって暮らしてくのはさすがに危険かなぁ…。早いところMozilla 1.01とか出してくれないかな。そうすればWazillaも追随してくれる…という話だった気が。
- - Re:デモを見たが… (スコア:0)
    
    by Anonymous Coward
    
    すまん、強烈に読み間違えてJavaScriptのとFTPViewのをごっちゃにしてた。
    ポイント余ってるモデレータのひと、0以下まで下げてくれ。
Squid を通してアクセスすると (スコア:0)

by Anonymous Coward on 2002年08月05日 22時30分 (#140137)

JavaScript を有効にしていても、何も起きませんでした。
他の Proxy は試していないので分かりません。
何故『修正版」をリリースしたりはしないのでしょう？ (スコア:0)

by Anonymous Coward on 2002年08月06日 6時07分 (#140361)

セキュリティに関わることであれば修正版をmozilla.orgはリリースしてもよいと思うのですが、そのような動きはないようですね。
いくらnightlyなどで取得できるとはいえ、リリースしたほうが利用者の信頼を高めると思うのですが…
- Re:何故『修正版」をリリースしたりはしないのでしょ (スコア:1)
  
  by Ryuzi Kambe (38) on 2002年08月06日 9時39分 (#140424) ホームページ日記
  
  修正版をリリース」というのは、1.0系列の
  後継ということでしょうか。だとすれば、それは
  人手が足りないから、ということのようです (T_T)
  
  ただいま 1.0.x 系列のメンテナンスに手を挙げれば、
  任される可能性が高いかも :-)
  
  1.0.1 関連の動向についてのバグは、このへんかな。。
  
  Make mozilla 1.0.1 not suck
  http://bugzilla.mozilla.org/show_bug.cgi?id=158377 [mozilla.org]
  
  Mozilla 1.0.1 Release Notes Tracking Bug
  http://bugzilla.mozilla.org/show_bug.cgi?id=155243 [mozilla.org]
  
  --
  
  - Ryuzi Kambe -
  
  シェア
  
  親コメント
  - Re:何故『修正版」をリリースしたりはしないのでしょ (スコア:0)
    
    by Anonymous Coward
    
    なるほど。
    どこもかしこも人手不足ですね。。。
    残念ながらプログラムを書くような事はできない人なんで、
    じっとみまもります。。。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

MozillaのFTPビューにXSS脆弱性 19

MozillaのFTPビューにXSS脆弱性 More ログイン

Galeon for Linux (スコア:3, 参考になる)

Re:Galeon for Linux (スコア:1)

JS止めただけでは完全ではない（と思う (スコア:1, 参考になる)

Re:JS止めただけでは完全ではない（と思う (スコア:2, 参考になる)

Re:JS止めただけでは完全ではない（と思う (スコア:0)

こう立て続けに出てしまっては (スコア:1)

Re:こう立て続けに出てしまっては (スコア:1, 興味深い)

Re:こう立て続けに出てしまっては (スコア:0)

Re:こう立て続けに出てしまっては (スコア:0)

Re:こう立て続けに出てしまっては (スコア:1)

Operaにも (スコア:1)

がいしゅつ (スコア:1)

デモを見たが… (スコア:0)

Re:デモを見たが… (スコア:0)

Squid を通してアクセスすると (スコア:0)

何故『修正版」をリリースしたりはしないのでしょう？ (スコア:0)

Re:何故『修正版」をリリースしたりはしないのでしょ (スコア:1)

Re:何故『修正版」をリリースしたりはしないのでしょ (スコア:0)

スラド