公開日:2007/11/21 最終更新日:2007/11/21
JVN#55833292
FileMaker におけるクロスサイトスクリプティングの脆弱性
FileMaker, Inc. が提供する FileMaker には、クロスサイトスクリプティングの脆弱性が存在します。
- FileMaker Pro 7 (for Windows and Mac)
- FileMaker Developer 7 (for Windows and Mac)
- FileMaker Server 7 Advanced (for Windows and Mac)
- FileMaker Pro 8.x (for Windows and Mac)
- FileMaker Pro 8.x Advanced (for Windows and Mac)
- FileMaker Server 8.x (for Windows and Mac)
- FileMaker Server 8.x Advanced (for Windows and Mac)
FileMaker 9 製品ラインは本脆弱性の影響を受けません。
FileMaker, Inc. が提供する FileMaker は、データベースソフトウェアです。
FileMaker には、データベースの内容をウェブサイトとして公開できる「インスタント Web 公開」機能があります。この「インスタント Web 公開」機能には、クロスサイトスクリプティングの脆弱性が存在します。
「インスタント Web 公開」機能で公開された内容を閲覧しているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。
アップグレードする
FileMaker 7.x および 8.x に対する修正パッチはベンダより提供されていません。
2007年9月、ベンダより FileMaker 9 製品ラインが発売されました。本脆弱性の影響を受けない FileMaker 9 製品ラインへアップグレードすることが可能です。
ワークアラウンドを実施する
FileMaker 9 製品ラインへアップグレードを行わない場合は、以下の方法で本脆弱性問題を回避することが可能です。
- 「インスタント Web 公開」機能を使用しない
ベンダ | リンク |
FileMaker, Inc. | Introducing FileMaker 9 |
FileMaker 9 製品ライン |
-
IPA
「FileMaker」におけるクロスサイト・スクリプティングの脆弱性
2007.11.21における脆弱性分析結果
評価尺度 | 攻撃成立条件 | 評価値 |
---|---|---|
攻撃経路 | インターネット経由からの攻撃が可能 |
|
認証レベル | 匿名もしくは認証なしで攻撃が可能 |
|
攻撃成立に必要なユーザーの関与 | リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される |
|
攻撃の難易度 | 専門知識や運がなくとも攻撃可能 |
|
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者: 株式会社エミック 松尾 篤 氏