SNS Advisory No.86
SquirrelMail Cross-Site Scripting Vulnerability

Problem first discovered on: Tue, 15 Nov 2005
Published on: Tue, 4 Apr 2006
Modifid on: Mon, 24 Apr 2006

脅威度：
中

概要：
WebメールシステムであるSquirrelMailには、HTMLメールに含まれるスクリプトを適切に除去できていない問題が存在しています。

詳細：
SquirrelMailは、PHP言語で開発されたウェブメールシステムです。

SquirrelMailには、受信したHTMLメールを表示する際に、スクリプトを除去して安全に表示する機能が備わっています。

しかしながら、このスクリプトの除去機能には抜けが存在しています。

このため、攻撃者から、この問題を悪用するHTMLメールを受け取り、表示してしまった場合に、本人になりすまされてシステムを操作されてしまうなどの被害を受ける恐れがあります。

影響のあるバージョン：
SquirrelMail 1.4.0 ～ 1.4.6 Release Candidate

対策：
SquirrelMail 1.4.6以降のバージョンにアップデートしてください。
http://www.squirrelmail.org/download.php

発見者：
山崎 圭吾（LAC）

謝辞：
本問題は、情報処理推進機構（IPA）、およびJPCERT/CCによる『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

http://jvn.jp/jp/JVN%2383263796/index.html
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_83263796_SquirrelMail.html

免責：
このアドバイザリで示される情報は予告なしに変更されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/86.html