2003年07月08日(火) 16時20分

iPlanet Messaging ServerにXSS脆弱性、Webメールコンポーネント利用時は注意（ZDNet）

　サン・マイクロシステムズが提供するメールサーバソフトウェア「Netscape Messaging Server 4.15x」と「iPlanet Messaging Server 5.0x/5.1」に、クロスサイトスクリプティングの脆弱性（＃4556171）が発見された。

　この問題は、Webメールコンポーネントの「Messanger Express」を利用している際に発生する。例えば、ユーザーが「SCRIPT」などのタグを含んだファイルが添付された電子メールを受信し、さらにその添付ファイルを開いた際、Messanger Expressでこれらタグをエスケープすることなく表示してしまうため、タグがそのままブラウザに解釈され、悪意あるコードやスクリプトが実行されてしまう可能性があるという。

　この問題はプラットフォームによらず発生する。問題を修正するには、サンが提供するフィックスバージョン「iPlanet Messaging Server 5.1 Patch1」もしくは相当以上のHotFix Bundleを適用するか、あるいは「iPlanet Messaging Server 5.2」にバージョンアップする。（ZDNet）

http://headlines.yahoo.co.jp/hl?a=20030708-00000032-zdn-sci