セキュリティ速報
JRunのクロスサイトスクリプティング問題に対処するためのパッチ公開
リリース日:2007年2月13日
脆弱性識別番号:APSB07-05
CVE番号:CVE-2006-5860
プラットフォーム:全プラットフォーム
影響を受けるソフトウェアとバージョン
- JRun 4.0
- ColdFusion MX 7.0 Enterprise Edition(「マルチサーバ」オプションでインストールされている場合)
- ColdFusion MX 6.1 Enterprise(「J2EE」オプションでインストールされ、JRun 4.0にデプロイされている場合)
メモ:この問題は、ColdFusion MX 6.1、7.0のStandard Editionには影響しません。
概要
JRunの管理コンソールの脆弱性が悪用されると、クロスサイトスクリプティング攻撃の対象となる恐れがあります。 JRunの管理者アプリケーションに対し、ある特定の仕組みをもつURLが送信されると、攻撃者がクロスサイトスクリプティング攻撃を仕掛けられるようになることがあります。
解決方法
該当製品をご利用の皆様には、以下の手順に従ってアップデートを適用することを推奨します。
注意:変更を行う前に、現在のファイルをバックアップしてください。運用中のサーバに変更を適用する前に、必ず非運用環境でテストを行ってください。
インストール手順:
JRun 4.0またはColdFusion MX 7.0(マルチサーバオプションでインストールされている場合)
- JRun 4 Updater 6をまだインストールしていない場合は、JRun 4.0 Updater 6リリースをダウンロードしてインストールします。
- jrun-hotfix-66413.jarパッチをダウンロードします。
- すべてのJRunサーバを停止します。
- {jrun_root}/servers/libディレクトリにjrun-hotfix-66413.jarを配置します。
- JRunを再起動します。
ColdFusion MX 6.1 Enterprise(「J2EE」オプションでインストールされ、JRun 4.0にデプロイされている場合)
(ColdFusion 6.1をご利用の場合はアップデータ1が必要です)
- JRun 4 Updater 6をまだインストールしていない場合は、JRun 4.0 Updater 6リリースをダウンロードしてインストールします。
- jrun-hotfix-66413.jarパッチをダウンロードします。
- ColdFusion MXを停止します。
- {cf_root}/runtime/servers/libディレクトリにjrun-hotfix-66413.jarを配置します。
- ({cf_root}/runtime/servers/libディレクトリが存在しない場合は、このディレクトリを作成します。)
重要度
アドビはこの問題を重要な案件と分類し、対象ユーザの皆様が該当製品にパッチを適用することを推奨します。
詳細
JRunの管理コンソールの脆弱性が悪用されると、クロスサイトスクリプティング攻撃が仕掛けられる恐れがあります。 JRunの管理者アプリケーションに対し、ある特定の仕組みをもつURLが送信されると、攻撃者が特定のブラウザのユーザにクロスサイトスクリプティング攻撃を仕掛けられるようになることがあります。 この問題はリモート攻撃の対象となります。
謝辞
この脆弱性を指摘し、ユーザのセキュリティ保護に協力してくださった株式会社セキュアスカイ・テクノロジーの福森大喜氏に対し、アドビより厚く御礼を申し上げます。
免責条項
使用許諾条件
Adobe Systems Incorporatedまたはその子会社(「アドビ社」)のソフトウェアを使用すると、下記のライセンス許諾契約の諸条件を承諾したことになります。 この契約の諸条件を承諾しない場合は、このソフトウェアを使用しないでください。 特定のソフトウェアファイルのインストール時またはダウンロード時に付随するエンドユーザ使用許諾契約の条項は、下記の条項よりも優先されます。
アドビシステムズ社のソフトウェア製品の輸出および再輸出は米国輸出管理規則により規制されており、キューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国への輸出および再輸出は許可されません。 さらに、アドビのソフトウェア製品はTOD(Table Of Denial Order)、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者へ頒布することは許可されておりません。
アドビのソフトウェア製品をダウンロードまたは使用することにより、お客樣にはキューバ、イラン、イラク、リビア、北朝鮮、スーダンもしくはシリアまたはその他米国政府が輸出を禁ずる国の国民でないこと、TOD、Entity ListまたはList of Specially Designated Nationalsの取引禁止対象者リストの対象者ではないことを証していただきます。
本ソフトウェアが他のアドビ製品(以下「ホストアプリケーション」)との併用を予定している場合、アドビは本ソフトウェアを専らホストアプリケーションと併用するために使用できる非排他的な権利を許諾します。ただし、かかる許諾はお客様がホストアプリケーションの正規ライセンスを有していることを条件とします。下記に定める規定を除き、本ソフトウェアの使用条件はホストアプリケーションの使用について適用されるアドビのエンドユーザ使用許諾契約の規定によるものとします。
保証の免責:お客様は、アドビが本ソフトウェアに関して明示的な保証を一切行わず、本ソフトウェアが「現状のまま」でいかなる保証もなく提供されていることを承諾します。アドビは、本ソフトウェアについて、特定の用途に対する適性、商業価値、商業上の品質、または第三者の権利の尊重を含むがそれに限定されない明示的または黙示的な保証は一切行っていません。国または法域によっては黙示の保証の除外が認められていないため、上記の限定は適用されない場合があります。
有限責任:契約、不法行為(過失を含む)、厳格な製造物責任またはその他の行為の形態にかかわらず、いかなる使用の損失、業務中断、または営利喪失を含む直接的、間接的、個別的、偶発的、副次的ないかなる損害に関して、事前に当該損害の可能性が勧告されていた場合でも、アドビはいかなる責任も負いません。国または法域によっては付随的または派生的な損害の除外または限定が認められていないため、上記の除外および限定は適用されない場合があります。
