[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[drf:2009] Re: Dspaseの脆弱性について



長崎大学 澤村さま

室蘭工業大学 堀越です。

情報提供ありがとうございます。
こちらでもパッチあてしました(当方 1.5.2です)。

手順:
#[DSpace-SRC]:ソースファイルの展開先
#[DSpace-HOME]:DSpaceインストール先
1.
Apache HTTP, Tomcatシャットダウン

2.
http://jira.dspace.org/jira/browse/DS-250
http://jira.dspace.org/jira/browse/DS-607
から、パッチファイル2件をダウンロードして
[DSpace-SRC]以下に保存

3.
cd [DSpace-SRC]
patch -p0 < escape-handle.patch
patch -p2 < \[DS-607\]_Invalid_identifiers_not_escaped.patch
mvn package
cd ./dspace/target/dspace-1.5.2-build.dir/
ant -Dconfig=[DSpace-HOME]/config/dspace.cfg update

4.
Tomcat, Apache HTTP起動


(2010/09/28 8:10), 長崎大学附属図書館学術コンテンツ wrote:
> DRFメーリングリストの皆様
> 
> 
> はじめまして、長崎大学の澤村と申します。
> 
> Dspaceの1.6.0以前をお使いの皆様へ
> セキュリティ対策についてお知らせしたいと思い、投稿いたします。
> 
> 先日IPAを通じて本学に、Dspaceに対する
> クロスサイトスクリプティング攻撃の危険性の報告がありました。
> 
> 危険性が報告されたのは、存在しないハンドル番号がURLに
> 入力された際の以下のエラー画面で、任意のスクリプトが
> 実行可能ということです。
>  http://naosite.lb.nagasaki-u.ac.jp/dspace/handle/%3C%3E (パッチ済み)
> 
> 
> 本学のDspaceのバージョンは,「1.4.2」です。
> 江別の鈴木様に,修正用のパッチを作成していただきました。
> 添付のパッチ(配布ついて了承済み)を以下の手順で実行することで、
> 特殊文字等をエスケープさせて回避することができます。
> 
> ===========  作業手順  =============
> パッチあてからDSpaceの再構築までの作業は次の通りです。
> DSPACE-SRCはDSpaceのソースがあるディレクトリ、TOMCATは
> Tomcatのインストールディレクトリです。
> 
> cp dspace-1.4.2-security.patch(添付パッチ) DSPACE-SRC
> cd DSPACE-SRC
> patch -p0<  dspace-1.4.2-security.patch
> ant update
> TOMCAT/bin/shutdown.sh
> cp build/dspace.war TOMCAT/webapps/
> cd TOMCAT/webapps
> rm -rf dspace
> TOMCAT/bin/startup.sh
> =========================================
> 
> 
> Dspaceの1.6.2以降のバージョンをお使いの方は問題無いようです。
> 
> Dspace1.6.0、1.6.2以降でバグとして報告・修正されています。
>  http://jira.dspace.org/jira/browse/DS-250
>  http://jira.dspace.org/jira/browse/DS-607
> 1.5.0〜1.6.0をご使用中の皆様は上記URLの必要なパッチを実行
> されていはいかがでしょうか?
> 
> 
> クロスサイトスクリプティング攻撃の危険性について
> ご検討いただけたら幸いです。
> 
> 
> ***************************************
> 長崎大学 学術情報部学術情報管理課
> 学術コンテンツ担当  澤村 俊祐
> 電話(内線)2195 (外線)095-819-2195
> Email s-sawa @ xxxxxxxxxxxxxxxx
> ***************************************
> 
> 
> 
> --
> DRF mailing list
> DRF @ xxxxxxxxxxxxxxxx
> https://ml.hines.hokudai.ac.jp/mailman/listinfo/drf


-- 
堀越 邦恵
 室蘭工業大学 図書・学術情報事務室(附属図書館)
 TEL:0143-46-5187 FAX:0143-46-5196
 e-mail:horikosi @ xxxxxxxxxxxxxxxxxxxx
--
DRF mailing list
DRF @ xxxxxxxxxxxxxxxx
https://ml.hines.hokudai.ac.jp/mailman/listinfo/drf