公開日:2007/03/19 最終更新日:2009/01/26

JVN#83832818
Interstage Application Server におけるクロスサイトスクリプティングの脆弱性

概要

富士通が提供する Interstage 製品シリーズ に含まれる Interstage 業務用 Servlet サービスおよび Interstage 管理コンソール用 Servlet サービス(製品バージョンによっては「Interstage 運用管理用 Servlet サービス」と呼ばれる)には、クロスサイトスクリプティングの脆弱性が存在します。

2007年3月19日時点において、ベンダからは回避策が提供されています。詳しくはベンダが提供する情報をご確認下さい。


影響を受けるシステム


対象となる製品は広範囲に及びます。
詳しくは、ベンダが提供する情報をご確認ください。

詳細情報

想定される影響

ユーザのブラウザ上で任意のスクリプトが実行される可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
富士通 該当製品あり 2009/01/26

参考情報

  1. IPA
    「Interstage Application Server」におけるクロスサイトスクリプティングの脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.03.19における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運がなくとも攻撃可能

各項目の詳しい説明

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 株式会社セキュアスカイ・テクノロジー 福森 大喜 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia