[Date Prev][Date Next][Thread Prev][][Date Index][Thread Index]

authentication information leak (was: [DSA-361-2] New kdelibs-cryptopackages fix multiple vulnerabilities)



Debian Security Announce を見ていてふと気になったんですが,

>> On Sun, 10 Aug 2003 14:34:51 +0900
>> "kde" == fuyuneko@ryukyu.ne.jp (KISE Hiroshi) said as follows:

kde> Package        : kdelibs-crypto
kde> Vulnerability  : 複数
kde> Problem-Type   : リモート
kde> Debian-specific: いいえ
kde> CVE Ids        : CAN-2003-0459, CAN-2003-0370

kde> kdelibs に二つの脆弱性が発見されました。

kde> - CAN-2003-0459: KDE 3.1.2 およびそれ以前の KDE Konqueror は、
kde> "user:password@host" という形式の URL の場合、HTTP-Referer ヘッダ
kde> からその認証情報を削除しないで流してしまいます。これを用いて、あ
kde> るページの認証情報を、そこからリンクされた先のページがあるウェブ
kde> サイトで盗めてしまいます。

emacs-w3m は大丈夫かと思って,ちょっと追跡してみました.

最終的に w3m-current-url の値が決まるのは,w3m-create-text-page() で,
その時は w3m-real-url() を使っています.この返り値は,さらに 
w3m-w3m-attributes() -> w3m-w3m-get-header() という経路で決まるわけで
すが,w3m-w3m-get-header() の中で w3m-url-strip-authinfo() しているの
で大丈夫.

しかし,これが大丈夫だったのは,かなり偶然の結果のような気がします.今
後は,少し気をつけるようにしましょう > 開発者各位

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )