SNS Advisory No.47
DeleGate Cross Site Scripting Vulnerability

Problem first discovered: 26 Dec 2001
Published: 28 Dec 2001

概要：
多機能ProxyサーバプログラムであるDeleGateにはクロスサイトスクリプティングにつながりうる問題があります。

問題：
多機能ProxyサーバプログラムであるDeleGateは、特定の条件下においてクロスサイトスクリプティングにつながりうる問題を発生させてしまいます。この条件とは、以下の2つの設定です：
*"403 Forbidden"エラーが表示されるURLがあること
*管理者がMOUNTオプションを利用して、独自のエラーメッセージを表示する設定にしていること

この条件を満たす設定が行われている場合、悪意ある攻撃者によって以下のようなURLにアクセスさせられてしまった場合、閲覧者のブラウザ上でJavaScriptコードが自動的に動作してしまう可能性があります。

http://IP_Address_of_DeleGate/<script>alert（"aaa"）;</script>

問題を確認したバージョン：
DeleGate/7.7.1
DeleGate/7.7.0

対策：
DeleGate/7.8.0へアップグレードを行うことでこの問題を解消することができます。これは以下のURLより入手可能です。
http://www.delegate.org/delegate/

発見者：
石塚 聡（LAC）
山崎 圭吾（LAC）

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/47.html