質問 > その他 > XSSの脆弱性の対応策について |
その他
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
mkairou |
投稿日時: 2008/10/3 13:01
対応状況: −−−
|
新米 登録日: 2008/10/3 居住地: 投稿: 1 |
XSSの脆弱性の対応策について 以下のページにXSSの脆弱性が存在するという報告があり、
対策として「ベンダが提供する情報をもとに最新版へアップデートしてください。」とあります。 http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-000062.html http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-000063.html Ver1.3.0を使用し、システムが稼働中であります。 1系の最新版にアップデートしてカスタマイズしだ部分を反映させる にはかなりの工数が必要になります。 他に対策はないのでしょうか。 homanさん、返信ありがとうございます。 Tracで改修部分を追っかけて修正するとなると修正漏れのおそれがありますので、開発者の方、お手数ですが確実な修正箇所をご教授ください。 |
seasoft |
投稿日時: 2008/10/3 17:19
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: XXSの脆弱性の対応策について http://www.ec-cube.net/info/080829/
これとは別件?
|
homan |
投稿日時: 2008/10/5 9:35
対応状況: −−−
|
仙人 登録日: 2007/7/2 居住地: 宮崎県宮崎市 投稿: 633 |
Re: XXSの脆弱性の対応策について 10/1というタイミングがSQLインジェクションの脆弱性がらみと関係あるのかな?と思ってしまうのですが、
SQLインジェクションとXSSの件は別で報告されていますね。 検索をかけると10/1にアップされているのは4件あります。 http://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=ja&keyword=EC-CUBE&vendor=&product=&datePublicFromYear=&datePublicFromMonth=&datePublicToYear=&datePublicToMonth=&dateLastPublishedFromYear=&dateLastPublishedFromMonth=&dateLastPublishedToYear=&dateLastPublishedToMonth=&severity= XSSの件は1系も対象に含まれているようです。 気になりますね XSSであれば、テンプレート側のSmartyタグに「|escape」を追記すれば とりあえずの対策になるかとおもうので、 tracの改修部分を追っかけるしかないかもしれないです。 http://svn.ec-cube.net/open_trac/search?q=%E8%84%86%E5%BC%B1%E6%80%A7&wiki=on&changeset=on&ticket=on (上記URLは「脆弱性」での検索結果なので、全部網羅しているかは不明です)
|
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |