Interstage List Works: クロスサイトスクリプティング(XSS)の脆弱性 (2017年7月3日)


本セキュリティサイトについてのご注意

1. 脆弱性の説明

Interstage List WorksのWeb連携機能において、新たにクロスサイトスクリプティング(XSS)の脆弱性の問題が確認されました。

富士通は、3.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。

2. 脆弱性のもたらす脅威

インターネット経由で悪意のあるサイト運用者が、Interstage List Worksによって運営されているウェブサイト(標的となるサイト)のXSS脆弱性を利用するページを作成することで、このページへアクセスしたユーザ(被害者)のコンピュータ上で、任意のコードを実行することができます。
また、被害者が標的となるサイトを信頼できるサイトとして設定している場合、このコードは信頼できるサイトのものとして実行される可能性があります。

危険なコードには以下のようなものがあります。

  • ユーザ入力の読み取り
  • cookieの読み取り/上書き
  • 第三者への情報の転送

3. 該当システム・対策情報

3-1.該当システム

PRIMEQUEST, PRIMERGY, GP5000, CELSIUS, FMVシリーズ, PRIMEPOWER, GP7000F, GP-S, 富士通S Series, SPARC Enterprise, SPARC Servers

3-2.該当製品・対策Patch

製品名バージョン対象OSパッケージ名Patch ID
Interstage List Works Enterprise Edition9.0.1Windows Server 2008-T002107WP-03[*1]
Interstage List Works Enterprise Edition9.0.1AWindows Server 2008-T003264WP-02[*1]
Interstage List Works Enterprise EditionV9.1.0Windows Server 2008-T009639WP-02[*1]
Interstage List Works Enterprise EditionV9.1.0AWindows Server 2008-T009640WP-02[*1]
Interstage List Works Enterprise EditionV10.0.0Windows Server 2008-T013835WP-01[*1]
Interstage List Works Enterprise EditionV10.1.0Windows Server 2008-T006171WP-07[*1]
Interstage List Works Enterprise EditionV10.2.0Windows Server 2008/ Windows Server 2012-T009104WP-04[*1]
Interstage List Works Enterprise EditionV10.3.0Windows Server 2008/ Windows Server 2012-T009185WP-06[*1]
Interstage List Works Enterprise EditionV10.3.0AWindows Server 2008/ Windows Server 2012-T010446WP-05[*1]
Interstage List Works Enterprise EditionV10.3.0BWindows Server 2008/ Windows Server 2012-T012103WP-03[*1]
Interstage List Works Enterprise EditionV10.3.0CWindows Server 2008/ Windows Server 2012-T012146WP-03[*1]
Interstage List Works Enterprise EditionV10.3.1Windows Server 2008/ Windows Server 2012-T013162WP-03[*1]
Interstage List Works Enterprise Edition8.0.0Solaris 10FJSVlw-gwT000369SP-07[*1]
Interstage List Works Enterprise Edition8.0.1Solaris 10FJSVlw-gwT000966SP-06[*1]
Interstage List Works Enterprise Edition8.0.1ASolaris 10FJSVlw-gwT003250SP-04[*1]
Interstage List Works Enterprise EditionV8.0.2Solaris 10FJSVlw-gwT013863SP-01[*1]
Interstage List Works Enterprise EditionV10.1.0Solaris 10/ 11FJSVlw-gwT009002SP-04[*1]
Interstage List Works Enterprise EditionV9.0.1RHEL 5/ 6FJSVlw-gw[*1][*2]
Interstage List Works Enterprise EditionV10.4.0RHEL 5/ 6/ 7FJSVlw-gw[*1][*3]
Interstage List Works Standard Edition9.0.1Windows Server 2008-T002107WP-03[*1]
Interstage List Works Standard Edition9.0.1AWindows Server 2008-T003264WP-02[*1]
Interstage List Works Standard EditionV9.1.0Windows Server 2008-T009639WP-02[*1]
Interstage List Works Standard EditionV9.1.0AWindows Server 2008-T009640WP-02[*1]
Interstage List Works Standard EditionV10.0.0Windows Server 2008-T013835WP-01[*1]
Interstage List Works Standard EditionV10.1.0Windows Server 2008-T006171WP-07[*1]
Interstage List Works Standard EditionV10.2.0Windows Server 2008/ Windows Server 2012-T009104WP-04[*1]
Interstage List Works Standard EditionV10.3.0Windows Server 2008/ Windows Server 2012-T009185WP-06[*1]
Interstage List Works Standard EditionV10.3.0AWindows Server 2008/ Windows Server 2012-T010446WP-05[*1]
Interstage List Works Standard EditionV10.3.0BWindows Server 2008/ Windows Server 2012-T012103WP-03[*1]
Interstage List Works Standard EditionV10.3.0CWindows Server 2008/ Windows Server 2012-T012146WP-03[*1]
Interstage List Works Standard EditionV10.3.1Windows Server 2008/ Windows Server 2012-T013162WP-03[*1]
Interstage List Works Standard EditionV10.1.0Solaris 10/ 11FJSVlw-gwT009002SP-04[*1]

[*1]
Web連携機能をインストールしている場合に適用して頂くパッチです。

[*2]
RHEL 6の場合:T009543LP-02
RHEL 5の場合:T009680LP-02

[*3]
List Worksの場合:T013409LP-02
List Works拡張パッケージ(RHEL 6/ 7)の場合:T013410LP-02
List Works拡張パッケージ(RHEL 5)の場合:T013411LP-02

参考: 該当製品の確認方法

ご利用製品のバージョンレベル確認方法は以下の通りです。

  • Windows版およびLinux版の場合
    製品に添付されている「ソフトウェア説明書」を参照してください。
  • Solaris版の場合
    FJSVlw-gwパッケージのパッケージ情報を確認します。
      pkginfo -l FJSVlw-gw

3-3. 回避方法

ありません。

4. 関連情報

ありません。

5. 改版履歴

  • 2017年7月3日 新規掲載

ページの先頭へ