ITmedia エンタープライズ

エンタープライズ：ニュース

2003/07/07 19:38:00 更新

iPlanet Messaging ServerにXSS脆弱性、Webメールコンポーネント利用時は注意

サン・マイクロシステムズのメールサーバ「Netscape Messaging Server 4.15x」と「iPlanet Messaging Server 5.0x/5.1」に、クロスサイトスクリプティングの脆弱性が発見された。フィックスバージョンの適用、もしくは5.2へのバージョンアップで解決できる。

　サン・マイクロシステムズが提供するメールサーバソフトウェア「Netscape Messaging Server 4.15x」と「iPlanet Messaging Server 5.0x/5.1」に、クロスサイトスクリプティングの脆弱性（＃4556171）が発見された。

　この問題は、Webメールコンポーネントの「Messanger Express」を利用している際に発生する。例えば、ユーザーが「SCRIPT」などのタグを含んだファイルが添付された電子メールを受信し、さらにその添付ファイルを開いた際、Messanger Expressでこれらタグをエスケープすることなく表示してしまうため、タグがそのままブラウザに解釈され、悪意あるコードやスクリプトが実行されてしまう可能性があるという。

　この問題はプラットフォームによらず発生する。問題を修正するには、サンが提供するフィックスバージョン「iPlanet Messaging Server 5.1 Patch1」もしくは相当以上のHotFix Bundleを適用するか、あるいは「iPlanet Messaging Server 5.2」にバージョンアップする。

関連リンク
CTCセキュリティ情報（0057-01）
Sun Microsystems：Release Notes for iPlanet Messaging Server

[ITmedia]