Accela BizSearch: MHTMLの脆弱性 (#1367) (2011年9月13日)

1. 脆弱性の説明

Accela BizSearch（注1）の標準検索画面において、新たにMHTMLの脆弱性の問題が確認されました。
（注1）ご利用の製品バージョンによっては「eAccela BizSearch」と呼ばれます。以降、必要に応じ読み換えてください。

Accela BizSearch製品については以下のページを参照してください。
http://www.fujitsu.com/jp/products/software/partners/partners/bizsearch/

2. 脆弱性のもたらす脅威

ユーザがMicrosoft社のInternet Explorerを用いている場合、悪意のあるサイト運用者が、Accela BizSearchの標準検索画面（標的となるサイト）のMHTMLの脆弱性をインターネット経由で利用するサイトを作成することで、このサイトへアクセスしたユーザ（被害者）のコンピュータ上で、任意のコードを実行することができます。
また、被害者が標的となるサイトを信頼できるサイトとして設定している場合、このコードは信頼できるサイトのものとして実行される可能性があります。

危険なコードには以下のようなものがあります。

ユーザ入力の読み取り
cookieの読み取り／上書き
第三者への情報の転送

3. 該当システム・対策情報

3-1.該当システム

Solaris 2.6, 7, 8, 9, 10
RHEL-AS 2.1(x86),AS 3(x86),AS 4(x86)
RHEL-ES 2.1(x86),ES 3(x86),ES 4(x86)
RHEL 5
Windows NT Server 4.0
Windows 2000 Server
Windows Server 2003
Windows Server 2008

3-2.該当製品・対策Patch

製品名	バージョン	対象OS	パッケージ名	Patch ID
Accela BizSearch Enterprise Edition	V3.0L10	Solaris 7/ 8/ 9	ATSPeabs	[注2]
Accela BizSearch Enterprise Edition	V3.0L10	RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86)		[注2]
Accela BizSearch Enterprise Edition	V3.0L10	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
Accela BizSearch Enterprise Edition	V3.0L10A	RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86)		[注2]
Accela BizSearch Enterprise Edition	V3.0L12	Solaris 7/ 8/ 9	ATSPeabs	[注2]
Accela BizSearch Enterprise Edition	V3.0L12	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
Accela BizSearch Enterprise Edition	V3.1L10	Solaris 7/ 8/ 9/ 10	ATSPeabs	[注2]
Accela BizSearch Enterprise Edition	V3.1L10	Windows 2000 Server/ Windows Server 2003/ Windows Server 2008		[注2]
Accela BizSearch Enterprise Edition	V3.2L10	Solaris 9/ 10	ATSPeabs	[注2]
Accela BizSearch Enterprise Edition	V3.2L10	RHEL-AS 4(x86)/ ES 4(x86)/ 5(x86)		[注2]
Accela BizSearch Enterprise Edition	V3.2L10	Windows 2000 Server/ Windows Server 2003/ Windows Server 2008		[注2]
Accela BizSearch Standard Edition	V3.0L10	Solaris 7/ 8/ 9	ATSPeabs	[注2]
Accela BizSearch Standard Edition	V3.0L10	RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86)		[注2]
Accela BizSearch Standard Edition	V3.0L10	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
Accela BizSearch Standard Edition	V3.0L10A	RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86)		[注2]
Accela BizSearch Standard Edition	V3.0L12	Solaris 7/ 8/ 9	ATSPeabs	[注2]
Accela BizSearch Standard Edition	V3.0L12	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
Accela BizSearch Standard Edition	V3.1L10	Solaris 7/ 8/ 9/ 10	ATSPeabs	[注2]
Accela BizSearch Standard Edition	V3.1L10	Windows 2000 Server/ Windows Server 2003/ Windows Server 2008		[注2]
Accela BizSearch Standard Edition	V3.2L10	Solaris 9/ 10	ATSPeabs	[注2]
Accela BizSearch Standard Edition	V3.2L10	RHEL-AS 4(x86)/ ES 4(x86)/ 5(x86)		[注2]
Accela BizSearch Standard Edition	V3.2L10	Windows 2000 Server/ Windows Server 2003/ Windows Server 2008		[注2]
Accela BizSearch Workgroup Edition	V3.0L10	Solaris 7/ 8/ 9	ATSPeabs	[注2]
Accela BizSearch Workgroup Edition	V3.0L10	RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86)		[注2]
Accela BizSearch Workgroup Edition	V3.0L10	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
Accela BizSearch Workgroup Edition	V3.0L10A	RHEL-AS 2.1(x86)/ AS 3(x86)/ AS 4(x86)/ ES 2.1(x86)/ ES 3(x86)/ ES 4(x86)		[注2]
Accela BizSearch Workgroup Edition	V3.0L12	Solaris 7/ 8/ 9	ATSPeabs	[注2]
Accela BizSearch Workgroup Edition	V3.0L12	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
Accela BizSearch Workgroup Edition	V3.1L10	Solaris 7/ 8/ 9/ 10	ATSPeabs	[注2]
Accela BizSearch Workgroup Edition	V3.1L10	Windows 2000 Server/ Windows Server 2003/ Windows Server 2008		[注2]
Accela BizSearch Workgroup Edition	V3.2L10	Solaris 9/ 10	ATSPeabs	[注2]
Accela BizSearch Workgroup Edition	V3.2L10	RHEL-AS 4(x86)/ ES 4(x86)/ 5(x86)		[注2]
Accela BizSearch Workgroup Edition	V3.2L10	Windows 2000 Server/ Windows Server 2003/ Windows Server 2008		[注2]
eAccela BizSearch Enterprise Edition	V1.0	Solaris 2.6/ 7/ 8	ATSPeabs	[注2]
eAccela BizSearch Enterprise Edition	V1.0	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Enterprise Edition	V2.0	Solaris 2.6/ 7/ 8/ 9	ATSPeabs	[注2]
eAccela BizSearch Enterprise Edition	V2.0	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Enterprise Edition	V2.0A	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Enterprise Edition	V2.1	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
eAccela BizSearch Enterprise Edition	V2.1L12	Solaris 2.6/ 7/ 8/ 9	ATSPeabs	[注2]
eAccela BizSearch Enterprise Edition	V2.1L12	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
eAccela BizSearch Standard Edition	V1.0	Solaris 2.6/ 7/ 8	ATSPeabs	[注2]
eAccela BizSearch Standard Edition	V1.0	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Standard Edition	V2.0	Solaris 2.6/ 7/ 8/ 9	ATSPeabs	[注2]
eAccela BizSearch Standard Edition	V2.0	RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86)		[注2]
eAccela BizSearch Standard Edition	V2.0	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Standard Edition	V2.0A	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Standard Edition	V2.1	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
eAccela BizSearch Standard Edition	V2.1	RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86)		[注2]
eAccela BizSearch Standard Edition	V2.1A	RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86)		[注2]
eAccela BizSearch Standard Edition	V2.1L12	Solaris 2.6/ 7/ 8/ 9	ATSPeabs	[注2]
eAccela BizSearch Standard Edition	V2.1L12	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
eAccela BizSearch Workgroup Edition	V1.0	Solaris 2.6/ 7/ 8	ATSPeabs	[注2]
eAccela BizSearch Workgroup Edition	V1.0	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Workgroup Edition	V2.0	Solaris 2.6/ 7/ 8/ 9	ATSPeabs	[注2]
eAccela BizSearch Workgroup Edition	V2.0	RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86)		[注2]
eAccela BizSearch Workgroup Edition	V2.0	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Workgroup Edition	V2.0A	Windows NT Server 4.0/ Windows 2000 Server		[注2]
eAccela BizSearch Workgroup Edition	V2.1	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]
eAccela BizSearch Workgroup Edition	V2.1	RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86)		[注2]
eAccela BizSearch Workgroup Edition	V2.1A	RHEL-AS 2.1(x86)/ AS 3(x86)/ ES 2.1(x86)/ ES 3(x86)		[注2]
eAccela BizSearch Workgroup Edition	V2.1L12	Solaris 2.6/ 7/ 8/ 9	ATSPeabs	[注2]
eAccela BizSearch Workgroup Edition	V2.1L12	Windows NT Server 4.0/ Windows 2000 Server/ Windows 2003 Server		[注2]

[注2] eAccela BizSearchおよびAccela BizSearchのパッチ入手方法に関しましては、お手数ですがアクセラテクノロジ社にお問い合わせください。
問い合わせ先： secrt-inq@accelatech.com

参考: 該当製品の確認方法

Solaris版の場合
以下のコマンドを入力すると、製品名とバージョンが表示されます。
eAccela BizSearchおよびAccela BizSearchの場合
#pkginfo -l ATSPeabs
Linux版の場合
以下のコマンドを入力すると、インストーラの名前が表示されます。
eAccela BizSearchおよびAccela BizSearchの場合
  #rpm -qa | grep bizsearch
   出力例：bizsearch-wrg-3.0-1
   ハイフンで区切られた3番目のセクションがバージョンを示します。
    （上記例の場合はV3.0です。）
Windows版の場合
[コントロールパネル]から[アプリケーションの追加と削除]を開くと、現在インストールされているプログラムの一覧に製品名とバージョンが表示されます。

3-3. 回避方法

クライアントマシンに、以下のURLに記載された更新プログラムを適用することで本脆弱性を回避できます。

マイクロソフトセキュリティ情報 MS11-026
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-026

4. 関連情報

ありません。

5. 改版履歴

2011年9月13日新規掲載