English

◀◁ 뒤로 취약점ID 21308 위험도 30 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 해당 Open WebMail 프로그램 버전에 따르면, Open WebMail 프로그램은 Cross-Site Scripting 취약점을 가지고 있다. Open WebMail은 Unix 계열 운영체제 상에서 동작하도록 Perl 스크립트로 제작된 오픈 소스 웹 메일 프로그램이다. 이 Open WebMail 2.32 와 그 이전 버전들에는 E-Mail 메시지 안에 포함된 Content-Type 또는 Content-Description 헤더를 적절히 필터링하지 못하는 결함으로 인하여 Cross-Site Scripting 취약점이 발생할 수 있다. 원격지 공격자들은 잘 조작된 Content-Type 또는 Content-Description 헤더를 가진 E-Mail 메시지를 대상 시스템에 전달하고 이를 대상 시스템의 사용자에 의해 열어 보게 함으로써, 임의의 스크립트 코드가 대상 시스템의 사용자 브라우저 상에서 실행되도록 할 수 있다. 이 취약점은 세션 Hijacking과 쿠키(cookie)기반의 인증 신용정보를 훔치는 데 도용될 수 있다. * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 원격지 Open WebMail 버전 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. 만약, 버전 정보가 'openwebmail.pl' 파일로부터 획득된 것이며 2004년 6월 3일로부터 릴리즈된 패치를 적용하였다면 이 취약점은 무시한다. * 참고 사이트: http://www.rs-labs.com/adv/RS-Labs-Advisory-2004-1.txt * 영향을 받는 플랫폼: Open WebMail 2.32(2004-06-02) 및 이전 버전들 Linux Any version 해결책 다음 Open WebMail 웹 사이트 http://openwebmail.acatysmoof.com/ 를 참조하여 가장 최신 버전(dated 16-June-2004 이후)으로 업그레이드 하여야 한다. 2004년 06월 03일 기준으로 Open WebMail 2.32 버전에서 이 문제는 해결되었다. 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)