Interstage List Works: クロスサイトスクリプティング(XSS)の脆弱性 (2017年7月3日)
1. 脆弱性の説明
Interstage List WorksのWeb連携機能において、新たにクロスサイトスクリプティング(XSS)の脆弱性の問題が確認されました。
富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
2. 脆弱性のもたらす脅威
インターネット経由で悪意のあるサイト運用者が、Interstage List Worksによって運営されているウェブサイト(標的となるサイト)のXSS脆弱性を利用するページを作成することで、このページへアクセスしたユーザ(被害者)のコンピュータ上で、任意のコードを実行することができます。
また、被害者が標的となるサイトを信頼できるサイトとして設定している場合、このコードは信頼できるサイトのものとして実行される可能性があります。
危険なコードには以下のようなものがあります。
- ユーザ入力の読み取り
- cookieの読み取り/上書き
- 第三者への情報の転送
3. 該当システム・対策情報
3-1.該当システム
PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, PRIMEPOWER, GP7000F, GP-S, 富士通S Series, SPARC Enterprise, SPARC Servers
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Interstage List Works Enterprise Edition | 9.0.1 | Windows Server 2008 | - | T002107WP-03[*1] |
| Interstage List Works Enterprise Edition | 9.0.1A | Windows Server 2008 | - | T003264WP-02[*1] |
| Interstage List Works Enterprise Edition | V9.1.0 | Windows Server 2008 | - | T009639WP-02[*1] |
| Interstage List Works Enterprise Edition | V9.1.0A | Windows Server 2008 | - | T009640WP-02[*1] |
| Interstage List Works Enterprise Edition | V10.0.0 | Windows Server 2008 | - | T013835WP-01[*1] |
| Interstage List Works Enterprise Edition | V10.1.0 | Windows Server 2008 | - | T006171WP-07[*1] |
| Interstage List Works Enterprise Edition | V10.2.0 | Windows Server 2008/ Windows Server 2012 | - | T009104WP-04[*1] |
| Interstage List Works Enterprise Edition | V10.3.0 | Windows Server 2008/ Windows Server 2012 | - | T009185WP-06[*1] |
| Interstage List Works Enterprise Edition | V10.3.0A | Windows Server 2008/ Windows Server 2012 | - | T010446WP-05[*1] |
| Interstage List Works Enterprise Edition | V10.3.0B | Windows Server 2008/ Windows Server 2012 | - | T012103WP-03[*1] |
| Interstage List Works Enterprise Edition | V10.3.0C | Windows Server 2008/ Windows Server 2012 | - | T012146WP-03[*1] |
| Interstage List Works Enterprise Edition | V10.3.1 | Windows Server 2008/ Windows Server 2012 | - | T013162WP-03[*1] |
| Interstage List Works Enterprise Edition | 8.0.0 | Solaris 10 | FJSVlw-gw | T000369SP-07[*1] |
| Interstage List Works Enterprise Edition | 8.0.1 | Solaris 10 | FJSVlw-gw | T000966SP-06[*1] |
| Interstage List Works Enterprise Edition | 8.0.1A | Solaris 10 | FJSVlw-gw | T003250SP-04[*1] |
| Interstage List Works Enterprise Edition | V8.0.2 | Solaris 10 | FJSVlw-gw | T013863SP-01[*1] |
| Interstage List Works Enterprise Edition | V10.1.0 | Solaris 10/ 11 | FJSVlw-gw | T009002SP-04[*1] |
| Interstage List Works Enterprise Edition | V9.0.1 | RHEL 5/ 6 | FJSVlw-gw | [*1][*2] |
| Interstage List Works Enterprise Edition | V10.4.0 | RHEL 5/ 6/ 7 | FJSVlw-gw | [*1][*3] |
| Interstage List Works Standard Edition | 9.0.1 | Windows Server 2008 | - | T002107WP-03[*1] |
| Interstage List Works Standard Edition | 9.0.1A | Windows Server 2008 | - | T003264WP-02[*1] |
| Interstage List Works Standard Edition | V9.1.0 | Windows Server 2008 | - | T009639WP-02[*1] |
| Interstage List Works Standard Edition | V9.1.0A | Windows Server 2008 | - | T009640WP-02[*1] |
| Interstage List Works Standard Edition | V10.0.0 | Windows Server 2008 | - | T013835WP-01[*1] |
| Interstage List Works Standard Edition | V10.1.0 | Windows Server 2008 | - | T006171WP-07[*1] |
| Interstage List Works Standard Edition | V10.2.0 | Windows Server 2008/ Windows Server 2012 | - | T009104WP-04[*1] |
| Interstage List Works Standard Edition | V10.3.0 | Windows Server 2008/ Windows Server 2012 | - | T009185WP-06[*1] |
| Interstage List Works Standard Edition | V10.3.0A | Windows Server 2008/ Windows Server 2012 | - | T010446WP-05[*1] |
| Interstage List Works Standard Edition | V10.3.0B | Windows Server 2008/ Windows Server 2012 | - | T012103WP-03[*1] |
| Interstage List Works Standard Edition | V10.3.0C | Windows Server 2008/ Windows Server 2012 | - | T012146WP-03[*1] |
| Interstage List Works Standard Edition | V10.3.1 | Windows Server 2008/ Windows Server 2012 | - | T013162WP-03[*1] |
| Interstage List Works Standard Edition | V10.1.0 | Solaris 10/ 11 | FJSVlw-gw | T009002SP-04[*1] |
[*1]
Web連携機能をインストールしている場合に適用して頂くパッチです。
[*2]
RHEL 6の場合:T009543LP-02
RHEL 5の場合:T009680LP-02
[*3]
List Worksの場合:T013409LP-02
List Works拡張パッケージ(RHEL 6/ 7)の場合:T013410LP-02
List Works拡張パッケージ(RHEL 5)の場合:T013411LP-02
参考: 該当製品の確認方法
ご利用製品のバージョンレベル確認方法は以下の通りです。
- Windows版およびLinux版の場合
製品に添付されている「ソフトウェア説明書」を参照してください。 - Solaris版の場合
FJSVlw-gwパッケージのパッケージ情報を確認します。
pkginfo -l FJSVlw-gw
3-3. 回避方法
ありません。
4. 関連情報
ありません。
5. 改版履歴
- 2017年7月3日 新規掲載
