トランスウェアのWebメールに複数の脆弱性、アップデートが公開 - ITmedia エンタープライズ(情報元のブックマーク数)
トランスウエアのWebメールソフトに複数の脆弱性が存在してIPAが情報を出しています。
情報処理推進機構とJPCERTコーディネーションセンターは12月8日、トランスウェアのWebメール「Active! mail 2003」に複数の脆弱性が見つかったとして、情報を公開した。
トランスウェアのWebメールに複数の脆弱性、アップデートが公開 - ITmedia エンタープライズ
脆弱性は、クロスサイトスクリプティング(XSS)とセッションID、cookieの漏えいの3件。いずれもActive! mail 2003 Build 2003.0139.0871以前に存在するもので、セッションIDの漏えいは同Buildでモバイル機能を有効にしている場合に影響を受ける。また、Cookieが漏えいする脆弱性はBuild 2003.0139.0911およびBuild 2003.0139.0938で設定ファイル「system.cfg」が未修正のものも含まれ、SSL環境で利用している場合に影響を受けるという。
3つとも法政大学からの報告らしいです。
報告者: 法政大学情報科学部 CIS RAT 前橋 賢一 氏
JVN#36207497: Active! mail 2003 における Cookie 漏えいの脆弱性
報告者: 法政大学情報科学部 CIS RAT 前橋 賢一 氏
JVN#85821104: Active! mail 2003 におけるセッション ID 漏えいの脆弱性
報告者: 法政大学情報科学部 CIS RAT 前橋 賢一 氏
JVN#49083120: Active! mail 2003 におけるクロスサイトスクリプティングの脆弱性