Accela BizSearch: クロスサイトスクリプティング(XSS)脆弱性 (2008年6月17日)
1.脆弱性の説明
Accela BizSearch(注1)の標準検索画面、検索サーバ運用管理画面、および画面変更ウィザードにおいて、新たにクロスサイトスクリプティング(XSS)脆弱性の問題が確認されました。
(注1)ご利用の製品バージョンによっては「eAccela BizSearch」と呼ばれます。以降、必要に応じ読み換えてください。
富士通は、3.に回避方法を示していますので、早急に対応願います。
Accela BizSearch製品については以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/partners/partners/bizsearch/
2. 脆弱性のもたらす脅威
悪意のあるサイト運用者が、Accela BizSearchの標準検索画面、検索サーバ運用管理画面、または画面変更ウィザード(標的となるサイト)のXSS脆弱性をインターネット経由で利用するサイトを作成することで、このサイトへアクセスしたユーザ(被害者)のコンピュータ上で、任意のコードを実行することができます。
また、被害者が標的となるサイトを信頼できるサイトとして設定している場合、このコードは信頼できるサイトのものとして実行される可能性があります。
危険なコードには以下のようなものがあります。
- ユーザ入力の読み取り
- cookieの読み取り/上書き
- 第三者への情報の転送
3. 該当システム・対策情報
3-1.該当システム
GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000
3-2.該当製品・対策Patch
| 製品名 | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|
| eAccela BizSearch V1.0 | Solaris 2.6, 7, 8 | ATSPeabs | (注2) |
| eAccela BizSearch V2.0 | Solaris 2.6, 7, 8, 9 | ATSPeabs | (注2) |
| eAccela BizSearch V2.1 | Solaris 2.6, 7, 8, 9 | ATSPeabs | (注2) |
| Accela BizSearch V3.0 | Solaris 7, 8, 9 | ATSPeabs | (注2) |
| Accela BizSearch V3.1 | Solaris 7, 8, 9, 10 | ATSPeabs | (注2) |
| eAccela BizSearch V1.0 | Windows NT Server 4.0 | - | (注2) |
| eAccela BizSearch V1.0 | Windows 2000 Server | - | (注2) |
| eAccela BizSearch V2.0 | Windows NT Server 4.0 | - | (注2) |
| eAccela BizSearch V2.0 | Windows 2000 Server | - | (注2) |
| eAccela BizSearch V2.1 | Windows NT Server 4.0 | - | (注2) |
| eAccela BizSearch V2.1 | Windows 2000 Server | - | (注2) |
| eAccela BizSearch V2.1 | Windows Server 2003 | - | (注2) |
| Accela BizSearch V3.0 | Windows NT Server 4.0 | - | (注2) |
| Accela BizSearch V3.0 | Windows 2000 Server | - | (注2) |
| Accela BizSearch V3.0 | Windows Server 2003 | - | (注2) |
| Accela BizSearch V3.1 | Windows 2000 Server | - | (注2) |
| Accela BizSearch V3.1 | Windows Server 2003 | - | (注2) |
| eAccela BizSearch V2.1 | Red Hat Enterprise Linux AS(v.2.1 for x86) | - | (注2) |
| eAccela BizSearch V2.1 | Red Hat Enterprise Linux AS(v.3 for x86) | - | (注2) |
| eAccela BizSearch V2.1 | Red Hat Enterprise Linux ES(v.2.1 for x86) | - | (注2) |
| eAccela BizSearch V2.1 | Red Hat Enterprise Linux ES(v.3 for x86) | - | (注2) |
| Accela BizSearch V3.0 | Red Hat Enterprise Linux AS(v.2.1 for x86) | - | (注2) |
| Accela BizSearch V3.0 | Red Hat Enterprise Linux AS(v.3 for x86) | - | (注2) |
| Accela BizSearch V3.0 | Red Hat Enterprise Linux AS(v.4 for x86) | - | (注2) |
| Accela BizSearch V3.0 | Red Hat Enterprise Linux ES(v.2.1 for x86) | - | (注2) |
| Accela BizSearch V3.0 | Red Hat Enterprise Linux ES(v.3 for x86) | - | (注2) |
| Accela BizSearch V3.0 | Red Hat Enterprise Linux ES(v.4 for x86) | - | (注2) |
(注2) eAccela BizSearchおよびAccela BizSearchのパッチ入手方法に関しましては、お手数ですがアクセラテクノロジ社にお問い合わせください。
問い合わせ先: secrt-inq@accelatech.com
参考: 該当製品の確認方法
- Solaris版の場合
以下のコマンドを入力すると、製品名とバージョンが表示されます。
#pkginfo -l ATSPeabs - Windows版の場合
[コントロールパネル]から[プログラムの追加と削除]を開くと、現在インストールされているプログラムの一覧に製品名とバージョンが表示されます。 - Linux版の場合
以下のコマンドを入力すると、インストーラの名前が表示されます。
#rpm -qa | grep bizsearch
出力例:bizsearch-wrg-3.0-1
ハイフンで区切られた3番目のセクションがバージョンを示します。(上記例の場合はV3.0です。)
3-3. 回避方法
ありません。
4. 関連情報
本問題に対するパッチは、下記の問題に対する修正を含みます。
- 「IntelligentSearch、eAccela BizSearchおよびAccela BizSearchのクロスサイト・スクリプティング問題 (2006年7月14日)」
http://www.fujitsu.com/jp/products/software/resources/condition/security/products-fujitsu/solution/isearch-200601.html
5. 改版履歴
- 2008年6月17日 新規掲載
