LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

登録する
注意喚起 | 

Python "SimpleHTTPServer"におけるクロスサイトスクリプティングの脆弱性

シェアボタンを表示

LAC Advisory No.110

Problem first discovered on: Thu, 15 Apr 2010
Published on: Tue, 10 Jun 2012

脅威度

概要

Pythonに同梱されている"SimpleHTTPServer"には、クロスサイトスクリプティングの脆弱性が存在します。

詳細

Pythonに同梱されている"SimpleHTTPServer"には、ディレクトリリスティングを表示する際に、文字コードの指定をおこなわずにレスポンスを表示する問題があります。このため、UTF-7でエンコードされたスクリプト文字列を送信されることによって、被害者のブラウザ上で任意のスクリプトが実行される恐れがあります。

(例)
http://vulnsite.example.jp:8000/%2bADw-script%2bAD4-alert(document.domain)%2bADsAPA-%2fscript%2bAD4-/..%2f../

スクリーンショット

スクリーンショット

影響を受ける バージョン

  • Python 2.7.2 より前のバージョン
  • Python 2.6.7 rc2 より前のバージョン
  • Python 2.5.6c1 より前のバージョン

対策

開発者が提供する情報をもとに最新版にアップデートしてください。

[ベンダ情報]

http://bugs.python.org/issue11442

発見者

山崎 圭吾(ラック)

謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報セキュリティ早期警戒パートナーシップ』に従い、2010年4月に届出をおこなったものです。

http://jvn.jp/jp/JVN51176027/

http://jvndb.jvn.jp/jvndb/JVNDB-2012-000063

CVE番号:
CVE-2011-4940

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4940

この記事をシェアする

  • Xでシェア
  • Facebookでシェア
  • はてなブックマークに追加
  • noteで書く
  • noteで書く

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • Sun Java System Web Server におけるクロスサイトリクエストフォージェリの脆弱性

    この記事を読む

  • Sun Java System Web Serverにおけるクロスサイトスクリプティングの脆弱性

    この記事を読む

  • 「Safari」においてHTTP通信のページからHTTPS通信のページにアクセス可能な脆弱性

    この記事を読む

よく読まれている記事

タグ

page top