WinnyにXSS脆弱性 3
ストーリー by yourCat
気をつけよう甘い言葉とXSS 部門より
気をつけよう甘い言葉とXSS 部門より
k3c 曰く、 "セキュリティホールmemo MLへの投稿によると、先日公式サイトが閉鎖され/.Jでも話題になったファイル共有ソフトWinnyにおいて、掲示板機能のHTTPサーバにクロスサイトスクリプティング (XSS) 脆弱性があり、ある方法で記載されたURLへのリンクをブラウザで表示させると、イントラネットゾーンのセキュリティレベルで任意のHTMLが表示されてしまう、Winnyを使用中であることをReferrer情報と共に他者に知らせてしまうなどの問題がある。上の投稿ではポート番号を変更して他者に知られないようにする、イントラネットゾーンのセキュリティレベルを「高」に設定するかlocalhostを「制限付きサイト」に追加する、などの回避方法が提示されている。
なお、新しいバージョンがWinnyのネットワーク上で配布されており、このバージョンではBBSポート番号を0に設定することで機能を無効にできるらしい (タレコミ人は未確認)。詳しいヒトのフォロー希望。"
脆弱性情報へのリンク (スコア:1)
詳しい人ではないのですが、取り急ぎご連絡まで。
--
Regards, Regards (Slashdot.jp 無粋部)
Re:脆弱性情報へのリンク (スコア:0)
それに、発見者は産総研の人ではないでしょ。
ACCS違い (スコア:2, 参考になる)
イニシャルはmemo-mlのこの投稿 [ryukoku.ac.jp]。
mail1.accsnet.ne.jpの管理機関はACCSnet [accsnet.ne.jp]=財団法人研究学園都市コミュニティケーブルサービス [accs.or.jp](つまり、つくばエリアのCATV-ISP)であって、コンピュータソフトウェア著作権協会 [accsjp.or.jp]にあらず。
ACCSの香具師 [2ch.net]のおかげで混乱しているのでは?