2005年12月15日(木曜日)

mod_imap に XSS 脆弱性

「JVN#06045169 mod_imap におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。

いつも紛らわしいと思うのですが、mod_imap というのは IMAP4 とは全く関係なくて、サーバ側イメージマップを実装するモジュールです。まあ、きょうびサーバ側イメージマップを使う機会はほぼゼロですので、Apache をインストールしたら最初に無効にするのがセオリーだと思いますが。

※念のため私が管理している Apache なサーバを全部確認しましたが、すべて mod_imap は無効でした。

ちなみに WCAG1.0 では

9.1 Provide client-side image maps instead of server-side image maps except where the regions cannot be defined with an available geometric shape. [Priority 1]

以上、WCAG1.0 Guideline 9. Design for device-independence. より

と、名指しで使うなと言われていたりします (クライアント側イメージマップで表現できないものは仕方ない、とも読めますが)。

※しかし、そんな状況でも使っている人いるんだろうなぁ……。

「mod_imap に XSS 脆弱性」へのコメント (2件)

関連する話題: セキュリティ / Apache

前(古い): 2005年12月12日(Monday)のえび日記
次(新しい): 2005年12月16日(Friday)のえび日記