[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[drf:2016] Re: Dspaseの脆弱性について



長崎大学 澤村さま
室蘭工業大学 堀越さま

筑波大学附属図書館 大澤です。
Tulips-Rは1.5.2ですので、堀越さんの手順を参考にして、徳田さんが速攻で
パッチを充ててくれました。
情報提供ありがとうございました。

(2010/09/28 9:03), Kunie Horikoshi wrote:
> 長崎大学 澤村さま
> 
> 室蘭工業大学 堀越です。
> 
> 情報提供ありがとうございます。
> こちらでもパッチあてしました(当方 1.5.2です)。
> 
> 手順:
> #[DSpace-SRC]:ソースファイルの展開先
> #[DSpace-HOME]:DSpaceインストール先
> 1.
> Apache HTTP, Tomcatシャットダウン
> 
> 2.
> http://jira.dspace.org/jira/browse/DS-250
> http://jira.dspace.org/jira/browse/DS-607
> から、パッチファイル2件をダウンロードして
> [DSpace-SRC]以下に保存
> 
> 3.
> cd [DSpace-SRC]
> patch -p0<  escape-handle.patch
> patch -p2<  \[DS-607\]_Invalid_identifiers_not_escaped.patch
> mvn package
> cd ./dspace/target/dspace-1.5.2-build.dir/
> ant -Dconfig=[DSpace-HOME]/config/dspace.cfg update
> 
> 4.
> Tomcat, Apache HTTP起動
> 
> 
> (2010/09/28 8:10), 長崎大学附属図書館学術コンテンツ wrote:
>> DRFメーリングリストの皆様
>>
>>
>> はじめまして、長崎大学の澤村と申します。
>>
>> Dspaceの1.6.0以前をお使いの皆様へ
>> セキュリティ対策についてお知らせしたいと思い、投稿いたします。
>>
>> 先日IPAを通じて本学に、Dspaceに対する
>> クロスサイトスクリプティング攻撃の危険性の報告がありました。
>>
>> 危険性が報告されたのは、存在しないハンドル番号がURLに
>> 入力された際の以下のエラー画面で、任意のスクリプトが
>> 実行可能ということです。
>>  http://naosite.lb.nagasaki-u.ac.jp/dspace/handle/%3C%3E (パッチ済み)
>>
>>
>> 本学のDspaceのバージョンは,「1.4.2」です。
>> 江別の鈴木様に,修正用のパッチを作成していただきました。
>> 添付のパッチ(配布ついて了承済み)を以下の手順で実行することで、
>> 特殊文字等をエスケープさせて回避することができます。
>>
>> ===========  作業手順  =============
>> パッチあてからDSpaceの再構築までの作業は次の通りです。
>> DSPACE-SRCはDSpaceのソースがあるディレクトリ、TOMCATは
>> Tomcatのインストールディレクトリです。
>>
>> cp dspace-1.4.2-security.patch(添付パッチ) DSPACE-SRC
>> cd DSPACE-SRC
>> patch -p0<   dspace-1.4.2-security.patch
>> ant update
>> TOMCAT/bin/shutdown.sh
>> cp build/dspace.war TOMCAT/webapps/
>> cd TOMCAT/webapps
>> rm -rf dspace
>> TOMCAT/bin/startup.sh
>> =========================================
>>
>>
>> Dspaceの1.6.2以降のバージョンをお使いの方は問題無いようです。
>>
>> Dspace1.6.0、1.6.2以降でバグとして報告・修正されています。
>>  http://jira.dspace.org/jira/browse/DS-250
>>  http://jira.dspace.org/jira/browse/DS-607
>> 1.5.0〜1.6.0をご使用中の皆様は上記URLの必要なパッチを実行
>> されていはいかがでしょうか?
>>
>>
>> クロスサイトスクリプティング攻撃の危険性について
>> ご検討いただけたら幸いです。
>>
>>
>> ***************************************
>> 長崎大学 学術情報部学術情報管理課
>> 学術コンテンツ担当  澤村 俊祐
>> 電話(内線)2195 (外線)095-819-2195
>> Email s-sawa @ xxxxxxxxxxxxxxxx
>> ***************************************
>>
>>
>>
>> --
>> DRF mailing list
>> DRF @ xxxxxxxxxxxxxxxx
>> https://ml.hines.hokudai.ac.jp/mailman/listinfo/drf
> 
> 


-- 
筑波大学附属図書館情報管理課リポジトリ担当
大澤 類里佐 rulisa @ xxxxxxxxxxxxxxxxxxxx
Tel.:029-853-2470  Fax:029-853-6052

--
DRF mailing list
DRF @ xxxxxxxxxxxxxxxx
https://ml.hines.hokudai.ac.jp/mailman/listinfo/drf