Accela BizSearch: クロスサイトスクリプティング(XSS)脆弱性 (#1343、#1344) (2011年4月25日)
1. 脆弱性の説明
Accela BizSearch(注1)の標準検索画面、検索サーバ運用管理画面、および画面変更ウィザードにおいて、新たにクロスサイトスクリプティング(XSS)脆弱性の問題が確認されました。
(注1)ご利用の製品バージョンによっては「eAccela BizSearch」と呼ばれます。以降、必要に応じ読み換えてください。
Accela BizSearch製品については以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/partners/partners/bizsearch/
2. 脆弱性のもたらす脅威
悪意のあるサイト運用者が、Accela BizSearchの標準検索画面、検索サーバ運用管理画面、または画面変更ウィザード(標的となるサイト)のXSS脆弱性をインターネット経由で利用するサイトを作成することで、このサイトへアクセスしたユーザ(被害者)のコンピュータ上で、任意のコードを実行することができます。
また、被害者が標的となるサイトを信頼できるサイトとして設定している場合、このコードは 信頼できるサイトのものとして実行される可能性があります。
危険なコードには以下のようなものがあります。
- ユーザ入力の読み取り
- cookieの読み取り/上書き
- 第三者への情報の転送
3. 該当システム・対策情報
3-1.該当システム
Solaris 2.6, 7, 8, 9, 10
Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003, Windows Server 2008
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Accela BizSearch ゲートウェイオプション Jasmine用 | V3.0L10 | Solaris 7/ 8/ 9 | ATSPbsgw | [注2] |
| Accela BizSearch ゲートウェイオプション Jasmine用 | V3.0L10 | Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server | [注2] | |
| Accela BizSearch ゲートウェイオプション Jasmine用 | V3.1L10 | Solaris 7/ 8/ 9/ 10 | ATSPbsgw | [注2] |
| Accela BizSearch ゲートウェイオプション Jasmine用 | V3.1L10 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2008 | [注2] | |
| Accela BizSearch ゲートウェイオプション NTFS ACL用 | V3.0L10 | Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server | [注2] | |
| Accela BizSearch ゲートウェイオプション NTFS ACL用 | V3.1L10 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2008 | [注2] | |
| Accela BizSearch ゲートウェイオプション TeamWARE用 | V3.0L10 | Solaris 7/ 8/ 9 | ATSPbsgw | [注2] |
| Accela BizSearch ゲートウェイオプション TeamWARE用 | V3.0L10 | Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server | [注2] | |
| Accela BizSearch ゲートウェイオプション TeamWARE用 | V3.1L10 | Solaris 7/ 8/ 9/ 10 | ATSPbsgw | [注2] |
| Accela BizSearch ゲートウェイオプション TeamWARE用 | V3.1L10 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2008 | [注2] | |
| Accela BizSearch ゲートウェイオプション ロータスノーツドミノ用 | V3.0L10 | Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server | [注2] | |
| Accela BizSearch ゲートウェイオプション ロータスノーツドミノ用 | V3.1L10 | Windows 2000 Server/ Windows Server 2003/ Windows Server 2008 | [注2] | |
| eAccela BizSearch ゲートウェイオプション Jasmine用 | V1.0 | Solaris 2.6/ 7/ 8 | ATSPbsgw | [注2] |
| eAccela BizSearch ゲートウェイオプション Jasmine用 | V1.0 | Windows NT Server 4.0/ Windows 2000 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション Jasmine用 | V2.0 | Solaris 2.6/ 7/ 8/ 9 | ATSPbsgw | [注2] |
| eAccela BizSearch ゲートウェイオプション Jasmine用 | V2.0 | Windows NT Server 4.0/ Windows 2000 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション Jasmine用 | V2.1 | Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション NTFS ACL用 | V1.0 | Windows NT Server 4.0/ Windows 2000 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション NTFS ACL用 | V2.0 | Windows NT Server 4.0/ Windows 2000 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション NTFS ACL用 | V2.1 | Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション TeamWARE用 | V1.0 | Solaris 2.6/ 7/ 8 | ATSPbsgw | [注2] |
| eAccela BizSearch ゲートウェイオプション TeamWARE用 | V1.0 | Windows NT Server 4.0/ Windows 2000 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション TeamWARE用 | V2.0 | Solaris 2.6/ 7/ 8/ 9 | ATSPbsgw | [注2] |
| eAccela BizSearch ゲートウェイオプション TeamWARE用 | V2.0 | Windows NT Server 4.0/ Windows 2000 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション TeamWARE用 | V2.1 | Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション ロータスノーツドミノ用 | V1.0 | Solaris 2.6/ 7/ 8 | ATSPbsgw | [注2] |
| eAccela BizSearch ゲートウェイオプション ロータスノーツドミノ用 | V1.0 | Windows NT Server 4.0/ Windows 2000 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション ロータスノーツドミノ用 | V2.0 | Solaris 2.6/ 7/ 8/ 9 | ATSPbsgw | [注2] |
| eAccela BizSearch ゲートウェイオプション ロータスノーツドミノ用 | V2.0 | Windows NT Server 4.0/ Windows 2000 Server | [注2] | |
| eAccela BizSearch ゲートウェイオプション ロータスノーツドミノ用 | V2.1 | Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server | [注2] |
[注2] eAccela BizSearchおよびAccela BizSearchのパッチ入手方法に関しましては、お手数ですがアクセラテクノロジ社にお問い合わせください。
問い合わせ先: secrt-inq@accelatech.com
参考: 該当製品の確認方法
- Solaris版の場合
以下のコマンドを入力すると、製品名とバージョンが表示されます。
eAccela BizSearchおよびAccela BizSearchの場合
#pkginfo -l ATSPbsgw - Windows版の場合
eAccela BizSearchおよびAccela BizSearchの場合
[コントロールパネル]から[プログラムの追加と削除]を開くと、現在インストールされているプログラムの一覧に製品名とバージョンが表示されます。
3-3. 回避方法
ありません。
4. 関連情報
ありません。
5. 改版履歴
- 2011年4月25日 新規掲載
