公開日:2005/11/16 最終更新日:2015/10/21

JVN#30451602
HTTPD-User-Manage におけるクロスサイトスクリプティングの脆弱性

概要

HTTPD-User-Manage は、ウェブサーバのユーザ認証情報の操作のための Perl モジュールです。HTTPD-User-Manage には、CGI で入力文字列の検査処理が適正に行われないことによる、クロスサイトスクリプティングの脆弱性が存在します。

なお、データベースを操作するためのライブラリのみを使用する場合には、この問題は発生しません。

影響を受けるシステム

  • HTTPD-User-Manage 1.62 およびそれ以前

詳細情報

想定される影響


HTTPD-User-Manage にアクセスできるユーザのブラウザ上で、悪意あるスクリプトを実行される可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
アライドテレシス株式会社 該当製品無し 2005/11/16
サイボウズ 該当製品無し 2005/11/16
センチュリー・システムズ 該当製品無し 2005/11/16
ターボリナックス 該当製品無し 2005/11/16
リコー 該当製品無し 2005/11/16
富士通株式会社 該当製品無し 2015/10/13
日本電気 該当製品無し 2005/11/16
日立 該当製品無し 2005/11/17 日立 の告知ページ
ベンダ リンク
cpan HTTPD-User-Manage-1.63

参考情報

  1. IPA
    「HTTPD-User-Manage」におけるクロスサイト・スクリプティングの脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 株式会社インターネットイニシアティブ 堂前 清隆 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2005/11/16
リコーの JVN#30451602への対応が更新されました。
2005/11/16
センチュリー・システムズの JVN#30451602への対応が更新されました。
2005/11/16
富士通の JVN#30451602への対応が更新されました。
2005/11/16
アライドテレシス株式会社の JVN#30451602への対応が更新されました。
2005/11/16
サイボウズの JVN#30451602への対応が更新されました。
2005/11/16
ターボリナックスの JVN#30451602への対応が更新されました。
2005/11/16
富士通の JVN#30451602への対応が更新されました。
2005/11/16
日本電気の JVN#30451602への対応が更新されました。
2005/11/17
ベンダ情報:日立の情報を更新しました。
2005/11/17
日立の JVN#30451602への対応が更新されました。
2015/10/21
富士通株式会社のベンダステータスが更新されました