Accela BizSearch: クロスサイトスクリプティング(XSS)脆弱性 (#1364) (2011年4月25日)
1. 脆弱性の説明
Accela BizSearch(注1)の標準検索画面、検索サーバ運用管理画面、および画面変更ウィザードにおいて、新たにクロスサイトスクリプティング(XSS)脆弱性の問題が確認されました。
(注1)ご利用の製品バージョンによっては「eAccela BizSearch」と呼ばれます。以降、必要に応じ読み換えてください。
Accela BizSearch製品については以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/partners/partners/bizsearch/
2. 脆弱性のもたらす脅威
悪意のあるサイト運用者が、Accela BizSearchの標準検索画面、検索サーバ運用管理画面、または画面変更ウィザード(標的となるサイト)のXSS脆弱性をインターネット経由で利用するサイトを作成することで、このサイトへアクセスしたユーザ(被害者)のコンピュータ上で、任意のコードを実行することができます。
また、被害者が標的となるサイトを信頼できるサイトとして設定している場合、このコードは 信頼できるサイトのものとして実行される可能性があります。
危険なコードには以下のようなものがあります。
- ユーザ入力の読み取り
- cookieの読み取り/上書き
- 第三者への情報の転送
3. 該当システム・対策情報
3-1.該当システム
Solaris 2.6, 7, 8, 9, 10
RHEL-AS 2.1(x86),AS 3(x86),AS4(x86)
RHEL-ES 2.1(x86),ES 3(x86),ES4(x86)
RHEL 5
3-2.該当製品・対策Patch
| 製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
|---|---|---|---|---|
| Accela BizSearch Enterprise Edition | V3.0L10 | Solaris 7/ 8/ 9 | ATSPeabs | [注2] |
| Accela BizSearch Enterprise Edition | V3.0L10 | RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86) | [注2] | |
| Accela BizSearch Enterprise Edition | V3.0L10A | RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86) | [注2] | |
| Accela BizSearch Enterprise Edition | V3.0L12 | Solaris 7/ 8/ 9 | ATSPeabs | [注2] |
| Accela BizSearch Enterprise Edition | V3.1L10 | Solaris 7/ 8/ 9/ 10 | ATSPeabs | [注2] |
| Accela BizSearch Enterprise Edition | V3.2L10 | Solaris 9/ 10 | ATSPeabs | [注2] |
| Accela BizSearch Enterprise Edition | V3.2L10 | RHEL-AS 4(x86)/ ES 4(x86)/ 5(x86) | [注2] | |
| Accela BizSearch Standard Edition | V3.0L10 | Solaris 7/ 8/ 9 | ATSPeabs | [注2] |
| Accela BizSearch Standard Edition | V3.0L10 | RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86) | [注2] | |
| Accela BizSearch Standard Edition | V3.0L10A | RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86) | [注2] | |
| Accela BizSearch Standard Edition | V3.0L12 | Solaris 7/ 8/ 9 | ATSPeabs | [注2] |
| Accela BizSearch Standard Edition | V3.1L10 | Solaris 7/ 8/ 9/ 10 | ATSPeabs | [注2] |
| Accela BizSearch Standard Edition | V3.2L10 | Solaris 9/ 10 | ATSPeabs | [注2] |
| Accela BizSearch Standard Edition | V3.2L10 | RHEL-AS 4(x86)/ ES 4(x86)/ 5(x86) | [注2] | |
| Accela BizSearch Workgroup Edition | V3.0L10 | Solaris 7/ 8/ 9 | ATSPeabs | [注2] |
| Accela BizSearch Workgroup Edition | V3.0L10 | RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86) | [注2] | |
| Accela BizSearch Workgroup Edition | V3.0L10A | RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86) | [注2] | |
| Accela BizSearch Workgroup Edition | V3.0L12 | Solaris 7/ 8/ 9 | ATSPeabs | [注2] |
| Accela BizSearch Workgroup Edition | V3.1L10 | Solaris 7/ 8/ 9/ 10 | ATSPeabs | [注2] |
| Accela BizSearch Workgroup Edition | V3.2L10 | Solaris 9/ 10 | ATSPeabs | [注2] |
| Accela BizSearch Workgroup Edition | V3.2L10 | RHEL-AS 4(x86)/ ES 4(x86)/ 5(x86) | [注2] | |
| eAccela BizSearch Enterprise Edition | V1.0 | Solaris 2.6/ 7/ 8 | ATSPeabs | [注2] |
| eAccela BizSearch Enterprise Edition | V2.0 | Solaris 2.6/ 7/ 8/ 9 | ATSPeabs | [注2] |
| eAccela BizSearch Enterprise Edition | V2.1L12 | Solaris 2.6/ 7/ 8/ 9 | ATSPeabs | [注2] |
| eAccela BizSearch Standard Edition | V1.0 | Solaris 2.6/ 7/ 8 | ATSPeabs | [注2] |
| eAccela BizSearch Standard Edition | V2.0 | Solaris 2.6/ 7/ 8/ 9 | ATSPeabs | [注2] |
| eAccela BizSearch Standard Edition | V2.0 | RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86) | [注2] | |
| eAccela BizSearch Standard Edition | V2.1 | RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86) | [注2] | |
| eAccela BizSearch Standard Edition | V2.1A | RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86) | [注2] | |
| eAccela BizSearch Standard Edition | V2.1L12 | Solaris 2.6/ 7/ 8/ 9 | ATSPeabs | [注2] |
| eAccela BizSearch Workgroup Edition | V1.0 | Solaris 2.6/ 7/ 8 | ATSPeabs | [注2] |
| eAccela BizSearch Workgroup Edition | V2.0 | Solaris 2.6/ 7/ 8/ 9 | ATSPeabs | [注2] |
| eAccela BizSearch Workgroup Edition | V2.0 | RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86) | [注2] | |
| eAccela BizSearch Workgroup Edition | V2.1 | RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86) | [注2] | |
| eAccela BizSearch Workgroup Edition | V2.1A | RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86) | [注2] | |
| eAccela BizSearch Workgroup Edition | V2.1L12 | Solaris 2.6/ 7/ 8/ 9 | ATSPeabs | [注2] |
[注2] eAccela BizSearchおよびAccela BizSearchのパッチ入手方法に関しましては、お手数ですがアクセラテクノロジ社にお問い合わせください。
問い合わせ先: secrt-inq@accelatech.com
参考: 該当製品の確認方法
- Solaris版の場合
以下のコマンドを入力すると、製品名とバージョンが表示されます。
eAccela BizSearchおよびAccela BizSearchの場合
#pkginfo -l ATSPeabs - Linux版の場合
以下のコマンドを入力すると、インストーラの名前が表示されます。
eAccela BizSearchおよびAccela BizSearchの場合
#rpm -qa | grep bizsearch
出力例:bizsearch-wrg-3.0-1
ハイフンで区切られた3番目のセクションがバージョンを示します。
(上記例の場合はV3.0です。)
3-3. 回避方法
ありません。
4. 関連情報
ありません。
5. 改版履歴
- 2011年4月25日 新規掲載
