公開日:2007/11/21 最終更新日:2007/11/21

JVN#55833292
FileMaker におけるクロスサイトスクリプティングの脆弱性

概要

FileMaker, Inc. が提供する FileMaker には、クロスサイトスクリプティングの脆弱性が存在します。

影響を受けるシステム

  • FileMaker Pro 7 (for Windows and Mac)
  • FileMaker Developer 7 (for Windows and Mac)
  • FileMaker Server 7 Advanced (for Windows and Mac)
  • FileMaker Pro 8.x (for Windows and Mac)
  • FileMaker Pro 8.x Advanced (for Windows and Mac)
  • FileMaker Server 8.x (for Windows and Mac)
  • FileMaker Server 8.x Advanced (for Windows and Mac)

FileMaker 9 製品ラインは本脆弱性の影響を受けません。

詳細情報

FileMaker, Inc. が提供する FileMaker は、データベースソフトウェアです。

FileMaker には、データベースの内容をウェブサイトとして公開できる「インスタント Web 公開」機能があります。この「インスタント Web 公開」機能には、クロスサイトスクリプティングの脆弱性が存在します。

想定される影響

「インスタント Web 公開」機能で公開された内容を閲覧しているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

対策方法

アップグレードする
FileMaker 7.x および 8.x に対する修正パッチはベンダより提供されていません。
2007年9月、ベンダより FileMaker 9 製品ラインが発売されました。本脆弱性の影響を受けない FileMaker 9 製品ラインへアップグレードすることが可能です。

ワークアラウンドを実施する
FileMaker 9 製品ラインへアップグレードを行わない場合は、以下の方法で本脆弱性問題を回避することが可能です。

  • 「インスタント Web 公開」機能を使用しない

ベンダ情報

ベンダ リンク
FileMaker, Inc. Introducing FileMaker 9
FileMaker 9 製品ライン

参考情報

  1. IPA
    「FileMaker」におけるクロスサイト・スクリプティングの脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.11.21における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者: 株式会社エミック 松尾 篤 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia