CSVIEW/Webアンケートの管理画面にログインし、ブラウザに表示されるURLの
FQDN部分を意図的に公開画面のFQDNに変更してアクセスした場合、管理画面
cgiプログラムのソースコードが表示される脆弱性があります。

■ 影響がある製品

 ・CSVIEW/WebアンケートV5.0/5.1/5.2/5.4 (Red Hat Enterprise Linux ES4)
 ・CSVIEW/WebアンケートV5.1/5.2/5.4 (Red Hat Enterprise Linux Server 5)

■ 対処方法

CSVIEW/Webアンケート公開画面のWebサーバに設定を追加します。
インストール手順書の「3.3.2 公開系apacheの設定」で編集する
httpd_front.conf に管理画面へのアクセス拒否設定を追加します。

(1) /esatg/config/httpd_front.confで公開画面へのアクセス許可の設定を
　　行っている下記<Directory>～</Directory>ディレクティブのブロックの
    記述箇所を確認します。

-------------------------
<Directory ~ "\
^/esatg/esatg/question|\
^/esatg/esatg/customer|\
^/esatg/esatg/login">

    AllowOverride None

    Order deny,allow
    Allow from all

</Directory>
-------------------------

(2) (1)の後に下記設定を追加します。

-------------------------
<Directory ~ "\
^/esatg/esatg/account|\
^/esatg/esatg/enqhtml|\
^/esatg/esatg/html|\
^/esatg/esatg/manage|\
^/esatg/esatg/common|\
^/esatg/esatg/direct|\
^/esatg/esatg/enqmanage|\
^/esatg/esatg/public|\
^/esatg/esatg/research|\
^/esatg/esatg/users">

    AllowOverride None

    Order deny,allow
    Deny from all

</Directory>
--------------------------

(3) 公開系のApacheのサービスを再起動を実施します。

# /esatg/bin/apachectl_front stop
# /esatg/bin/apachectl_front start

■ 修正物件提供時期

CSVIEW/Webアンケートとしての修正物件の提供は予定しておりません。