mod_sslにXSS攻撃を許すバグ

mod_sslにXSS攻撃を許すバグ 13

ストーリー by Oliver 2002年10月25日 20時00分
ひょんなところから穴部門より

k3c 曰く、 "mod_sslにXSS攻撃を許すバグが発見された。"UseCanonicalName"オプションがオフ、かつワイルドカードDNSを許可している場合、クライアントからのリクエストに含まれるホスト名とポート番号をエスケープせずに返してしまうとのこと。このバグを含んだmod_sslを用いているサーバに対してHTMLやスクリプトが含まれたリクエストを(たとえばリンクのURLに記述するなどして)送信させることで、クライアントのWebブラウザにHTMLやスクリプトを処理させることができ、XSS攻撃が成立する。
mod_sslおよびそのミラーサイトから対策済みのバージョン2.8.12-1.3.27がダウンロードできるほか、Debian GNU/LinuxやMandrakeからもAdvisoryが出ている。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索13コメント Log In/Create an Account

all or nothing (スコア:1)

by deleted user (3598) on 2002年10月25日 20時21分 (#189689)

何でもかんでもエスケープして返すようにする、っていうんだとインプリメントが楽かなぁ、なんて思うんですが、そういう話じゃないんでしょうかしらん？
例えばC言語だったら、PUTCHARっていうマクロを作ってエスケープしてからputcharを呼ぶ、みたいに考えたんですけど...

--
=^..^=
Enjoy Computing, Skiing, as much as Horse Racing.
- Re:all or nothing (スコア:1)
  
  by deleted user (1544) on 2002年10月25日 20時39分 (#189696) ホームページ日記
  
  mod_escape とかいう名前でつくる。
  
  シェア
  
  親コメント
  - Re:all or nothing (スコア:0, おもしろおかしい)
    
    by Anonymous Coward
    
    プレーンテキストしか扱えなくなる。
    しかもtarballの中身もスケープしてしまう。
    - すべてを棄てる覚悟でそうしても… (スコア:1)
      
      by keis (6580) on 2002年10月26日 10時11分 (#189909)
      
      text/plainを勝手にhtml扱いするブラウザ [moonwolf.com]に裏切られる。
      
      しかもバージョンで挙動が異なりイヤになる。
      
      シェア
      
      親コメント
      - Re:すべてを棄てる覚悟でそうしても… (スコア:1)
        
        by tix (7637) on 2002年10月26日 15時16分 (#190006) ホームページ
        
        親コメントの話は、 Content-Type: text/html としておいて、＜＞＆をエスケープするという話であって、 IE などが Content-Type: text/plain の指示を無視することがある問題とは関係がないと思いますよ。
        
        --
        鵜呑みにしてみる？
        
        シェア
        
        親コメント
        
        Re:すべてを棄てる覚悟でそうしても… (スコア:0)
        
        by Anonymous Coward
        
        ネタにマジレスしてもアレだが。
        tarballを云々してる#189705の段階で、既にまっとうな議論の対象外だろ。(w
        
        Re:すべてを棄てる覚悟でそうしても… (スコア:1)
        
        by tix (7637) on 2002年10月29日 17時07分 (#191334) ホームページ
        
        うー、すみません。野暮でした。
        
        --
        鵜呑みにしてみる？
        
        シェア
        
        親コメント
- Re:all or nothing (スコア:0)
  
  by Anonymous Coward
  
  使い方を誤り，多重エスケープや多重デコードバグが多発します。
  # i.e. slashcode
- Re:all or nothing (スコア:0)
  
  by Anonymous Coward
  
  Cだったら多重エスケープとかどうしても出るだろうね。
  C++なら、escaped_stringとunescaped_stringで型を分ける手はありそうだけど。
  エスケープを間違えたら即コンパイルエラー、という仕掛け。
  でもエスケープの種類によって型の数が爆発しそうな気も。
ワイルドカードDNS (スコア:0)

by Anonymous Coward on 2002年10月25日 21時17分 (#189712)

ワイルドカードDNSを使う運用って一般的なんですか? 自分でDNSを設定するときには、ワイルドカードは使ったことがないです。.
- Re:ワイルドカードDNS (スコア:1, 参考になる)
  
  by Anonymous Coward on 2002年10月25日 22時01分 (#189730)
  
  wildcard MXとか一見便利そうに見えた時代もありましたが、
  本当に必要だと確信できる場合以外は止めた方が身のためです。
  
  シェア
  
  親コメント
既出？ (スコア:0)

by Anonymous Coward on 2002年10月26日 2時27分 (#189860)

既出の類似記事（XSS脆弱性を修正したApache 1.3.27 & 2.0.43 リリース Oliver による 2002年10月05日 19時21分の投稿） [srad.jp]との関係性を教えてほしい。
- Re:既出？ (スコア:0)
  
  by Anonymous Coward
  
  それは Apache。今度のは mod_ssl。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

mod_sslにXSS攻撃を許すバグ 13

mod_sslにXSS攻撃を許すバグ More ログイン

all or nothing (スコア:1)

Re:all or nothing (スコア:1)

Re:all or nothing (スコア:0, おもしろおかしい)

すべてを棄てる覚悟でそうしても… (スコア:1)

Re:すべてを棄てる覚悟でそうしても… (スコア:1)

Re:すべてを棄てる覚悟でそうしても… (スコア:0)

Re:すべてを棄てる覚悟でそうしても… (スコア:1)

Re:all or nothing (スコア:0)

Re:all or nothing (スコア:0)

ワイルドカードDNS (スコア:0)

Re:ワイルドカードDNS (スコア:1, 参考になる)

既出？ (スコア:0)

Re:既出？ (スコア:0)

スラド