[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
authentication information leak (was: [DSA-361-2] New kdelibs-cryptopackages fix multiple vulnerabilities)
- From: TSUCHIYA Masatoshi <tsuchiya@xxxxxxxxxxxxxxxxxxxxxxx>
- Date: Mon, 11 Aug 2003 11:35:24 +0900
- X-ml-name: emacs-w3m
- X-mail-count: 05661
- References: <20030810.143435.74756468.fuyuneko@ryukyu.ne.jp>
Debian Security Announce を見ていてふと気になったんですが,
>> On Sun, 10 Aug 2003 14:34:51 +0900
>> "kde" == fuyuneko@ryukyu.ne.jp (KISE Hiroshi) said as follows:
kde> Package : kdelibs-crypto
kde> Vulnerability : 複数
kde> Problem-Type : リモート
kde> Debian-specific: いいえ
kde> CVE Ids : CAN-2003-0459, CAN-2003-0370
kde> kdelibs に二つの脆弱性が発見されました。
kde> - CAN-2003-0459: KDE 3.1.2 およびそれ以前の KDE Konqueror は、
kde> "user:password@host" という形式の URL の場合、HTTP-Referer ヘッダ
kde> からその認証情報を削除しないで流してしまいます。これを用いて、あ
kde> るページの認証情報を、そこからリンクされた先のページがあるウェブ
kde> サイトで盗めてしまいます。
emacs-w3m は大丈夫かと思って,ちょっと追跡してみました.
最終的に w3m-current-url の値が決まるのは,w3m-create-text-page() で,
その時は w3m-real-url() を使っています.この返り値は,さらに
w3m-w3m-attributes() -> w3m-w3m-get-header() という経路で決まるわけで
すが,w3m-w3m-get-header() の中で w3m-url-strip-authinfo() しているの
で大丈夫.
しかし,これが大丈夫だったのは,かなり偶然の結果のような気がします.今
後は,少し気をつけるようにしましょう > 開発者各位
--
土屋 雅稔 ( TSUCHIYA Masatoshi )