 |
Security Director / Traffic Director / InfoProxy: Cross-Site Scripting問題 (2002年6月14日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: |
Security Director / Traffic Director / InfoProxy: Cross-Site Scripting問題 |
| 製品提供元: |
富士通株式会社 |
| 該当製品: |
| 対象OS |
製品名 |
| Solaris 2.6, 7, 8 |
INTERSTAGE Security Director 3.0, 3.1, 4.0, 4.1
INTERSTAGE Traffic Director 3.0, 3.1
INTERSTAGE Traffic Director Enterprise Edition 4.0, 4.1
INTERSTAGE Traffic Director Standard Edition 4.0, 4.1 |
| Solaris 2.4 |
InfoProxy 1.0 |
| Solaris 2.4, 2.5, 2.5.1 |
InfoProxy 1.1, 1.2 |
| Solaris 2.5, 2.5.1, 2.6 |
InfoProxy 2.0 |
| Solaris 2.5.1, 2.6, 7 |
InfoProxy 3.0, 3.1 |
| Solaris 2.6, 7, 8 |
InfoProxy 3.2 |
| Windows NT/ 2000 |
INTERSTAGE Security Director V3.0L10, V3.0L20, V4.0L10, V4.0L20
INTERSTAGE Traffic Director V3.0L10, V3.0L20
INTERSTAGE Traffic Director Enterprise Edition V4.0L10, V4.0L20
INTERSTAGE Traffic Director Standard Edition V4.0L10, V4.0L20
InfoProxy V3.0L20 |
| Windows NT |
InfoProxy V1.1L10, V1.2L10, V2.0L10, V3.0L10 |
|
| 該当システム: |
GP7000F, PRIMEPOWER, GP-S, PRIMERGY, GP5000 |
| システムへの影響: |
Webブラウザから悪意のあるWebサイトにアクセスした場合に、意図しないスクリプトがWebブラウザ上で実行される可能性がある(Cross-Site Scripting問題)。 |
| 一時的な回避方法: |
ありません。 |
| パッチ: |
あり。(提供範囲は「5.パッチ情報」を参照) |
|
1. 背景
INTERSTAGE Security DirectorのHTTPアプリケーションゲートウェイ機能、およびINTERSTAGE Traffic Directorのキャッシュ機能に、入力されたデータを検査せずにそのままWebページへエコーバックすることがあることがわかりました。Webブラウザから悪意のあるWebサイトにアクセスした場合に、この脆弱性が悪用され、意図しないスクリプトがWebブラウザ上で実行される可能性があります(Cross-Site Scripting問題)。 富士通は、5.に示すセキュリティパッチを提供していますので、早急に適用する様にお願いします。
なお、INTERSTAGE Security Directorのファイアウォール機能およびIIOPアプリケーションゲートウェイ機能、およびINTERSTAGE Traffic Directorの負荷分散/QOS制御機能については、上記の問題は影響しません。
2. 該当システムの範囲
| 該当コマンド/ファイル |
製品名 |
対象OS |
| HTTPアプリケーションゲートウェイ機能 |
INTERSTAGE Security Director 3.0, 3.1, 4.0, 4.1 |
Solaris 2.6/ 7/ 8 |
| キャッシュ機能 |
INTERSTAGE Traffic Director 3.0, 3.1 |
Solaris 2.6/ 7/ 8 |
| キャッシュ機能 |
INTERSTAGE Traffic Director Enterprise Edition 4.0, 4.1 |
Solaris 2.6/ 7/ 8 |
| キャッシュ機能 |
INTERSTAGE Traffic Director Standard Edition 4.0, 4.1 |
Solaris 2.6/ 7/ 8 |
| PROXYサーバ |
InfoProxy 1.0 |
Solaris 2.4 |
| PROXYサーバ |
InfoProxy 1.1, 1.2 |
Solaris 2.4/ 2.5/ 2.5.1 |
| PROXYサーバ |
InfoProxy 2.0 |
Solaris 2.5/ 2.5.1/ 2.6 |
| PROXYサーバ |
InfoProxy 3.0, 3.1 |
Solaris 2.5.1/ 2.6/ 7 |
| PROXYサーバ |
InfoProxy 3.2 |
Solaris 2.6/ 7/ 8 |
| HTTPアプリケーションゲートウェイ機能 |
INTERSTAGE Security Director V3.0L10, V3.0L20, V4.0L10, V4.0L20 |
Windows NT/ 2000 |
| キャッシュ機能 |
INTERSTAGE Traffic Director V3.0L10, V3.0L20 |
Windows NT/ 2000 |
| キャッシュ機能 |
INTERSTAGE Traffic Director Enterprise Edition V4.0L10, V4.0L20 |
Windows NT/ 2000 |
| キャッシュ機能 |
INTERSTAGE Traffic Director Standard Edition V4.0L10, V4.0L20 |
Windows NT/ 2000 |
| PROXYサーバ |
InfoProxy V1.1L10, V1.2L10, V2.0L10, V3.0L10 |
Windows NT |
| PROXYサーバ |
InfoProxy V3.0L20 |
Windows NT/ 2000 |
3. 発見されている問題点
Webブラウザから悪意のあるWebサイトにアクセスした場合に、意図しないスクリプトがWebブラウザ上で実行される可能性があります(Cross-Site Scripting問題)。
4. 一時的な回避方法
ありません。
5. パッチ情報
| 製品名 |
対象OS |
パッケージ名 |
Patch ID |
| INTERSTAGE Security Director 3.0 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911676-01 |
| INTERSTAGE Security Director 3.1 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911678-01 |
| INTERSTAGE Security Director 4.0 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911661-01 |
| INTERSTAGE Security Director 4.1 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911680-01 |
| INTERSTAGE Traffic Director 3.0 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911677-01 |
| INTERSTAGE Traffic Director 3.1 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911679-01 |
| INTERSTAGE Traffic Director Enterprise Edition 4.0 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911666-01 |
| INTERSTAGE Traffic Director Enterprise Edition 4.1 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911681-01 |
| INTERSTAGE Traffic Director Standard Edition 4.0 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911666-01 |
| INTERSTAGE Traffic Director Standard Edition 4.1 |
Solaris 2.6/ 7/ 8 |
FSUNproxy |
911681-01 |
| InfoProxy 1.0 |
Solaris 2.4 |
FSUNproxy |
910069-02 |
| InfoProxy 1.1 |
Solaris 2.4, 2.5, 2.5.1 |
FSUNproxy |
910070-03 |
| InfoProxy 1.2 |
Solaris 2.4, 2.5, 2.5.1 |
FSUNproxy |
910071-02 |
| InfoProxy 2.0 |
Solaris 2.5, 2.5.1, 2.6 |
FSUNproxy |
910072-03 |
| InfoProxy 3.0 |
Solaris 2.5.1, 2.6, 7 |
FSUNproxy |
910106-03 |
| InfoProxy 3.1 |
Solaris 2.5.1, 2.6, 7 |
FSUNproxy |
910310-03 |
| InfoProxy 3.2 |
Solaris 2.6, 7, 8 |
FSUNproxy |
910688-04 |
| INTERSTAGE Security Director V3.0L10 |
WindowsNT/ 2000 |
InfoProxy |
TP44163 |
| INTERSTAGE Security Director V3.0L20 |
WindowsNT/ 2000 |
InfoProxy |
TP54163 |
| INTERSTAGE Security Director V4.0L10 |
WindowsNT/ 2000 |
InfoProxy |
TP64163 |
| INTERSTAGE Security Director V4.0L20 |
WindowsNT/ 2000 |
InfoProxy |
TP74163 |
| INTERSTAGE Traffic Director V3.0L10 |
WindowsNT/ 2000 |
InfoProxy |
TP44163 |
| INTERSTAGE Traffic Director V3.0L20 |
WindowsNT/ 2000 |
InfoProxy |
TP54163 |
| INTERSTAGE Traffic Director Enterprise Edition V4.0L10 |
WindowsNT/ 2000 |
InfoProxy |
TP64163 |
| INTERSTAGE Traffic Director Enterprise Edition V4.0L20 |
WindowsNT/ 2000 |
InfoProxy |
TP74163 |
| INTERSTAGE Traffic Director Standard Edition V4.0L10 |
WindowsNT/ 2000 |
InfoProxy |
TP64163 |
| INTERSTAGE Traffic Director Standard Edition V4.0L20 |
WindowsNT/ 2000 |
InfoProxy |
TP74163 |
| InfoProxy V1.1L10 |
WindowsNT |
InfoProxy |
TP04163 |
| InfoProxy V1.2L10 |
WindowsNT |
InfoProxy |
TP14163 |
| InfoProxy V2.0L10 |
WindowsNT |
InfoProxy |
TP24163 |
| InfoProxy V3.0L10 |
WindowsNT |
InfoProxy |
TP34163 |
| InfoProxy V3.0L20 |
WindowsNT/ 2000 |
InfoProxy |
TP44163 |
お手数ですが、本修正の入手方法など詳細に関しましては、
当社サポート窓口にお問い合わせください。
6. 改版履歴
|
|
