[WebOTX] Web版統合運用管理コンソールのクリックジャッキング脆弱性(CVE-2015-4266)への影響と対策について
概要
WebOTXに含まれているWeb版統合運用管理コンソールには、意図しない操作を誘導するというクリックジャッキング攻撃が実行される脆弱性が存在します。
影響のある製品
次の製品に影響があります。
V9.31(WebOTX Media V9 Release 6 に格納)以降の製品は該当いたしません。
<V9>
- WebOTX Application Server Express V9.1~V9.3
- WebOTX Application Server Standard V9.1~V9.3
- WebOTX Application Server Enterprirse V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2
- WebOTX Portal V9.1
- WebOTX Developer V9.1~V9.3 (*1)
<V8>
- WebOTX Application Server Web Edition V8.1
- WebOTX Application Server Standard-J Edition V8.1
- WebOTX Application Server Express V8.2~V8.5
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V8.5
- WebOTX Application Server Enterprise V8.2~V8.5
- WebOTX SIP Application Server V8.1
- WebOTX Enterprise Service Bus V8.1~8.5
- WebOTX Portal V8.2~V8.4
- WebOTX Developer V8.1~V8.4 (*1)
<V7>
- WebOTX Application Server Web Edition V7.1
- WebOTX Application Server Standard-J Edition V7.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX SIP Application Server V7.1
- WebOTX Enterprise Service Bus V7.1
- WebOTX Developer V7.1 (*1)
- WebOTX UDDI Registry V7.1
<V6>
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.2~V6.5
- WebOTX Enterprise Edition V6.2~V6.5
- WebOTX Enterprise Service Bus V6.4~6.5
- WebOTX 開発環境 V6.1~V6.5 (*1)
- WebOTX UDDI Registry V3.1~V3.5
<V5>
- ActiveGlobe WebOTX Web Edition V5.1~V5.3
- ActiveGlobe WebOTX Standard-J Edition V5.1~V5.3
- ActiveGlobe WebOTX Standard Edition V5.1~V5.3
- ActiveGlobe WebOTX Enterprise Edition V5.1~V5.3
- ActiveGlobe WebOTX UDDI Registry V2.1
<V4>
- WebOTX Web Edition V4.2
- WebOTX UDDI Registry V1.1
(*1) WebOTX 開発環境およびWebOTX Developerは、「テスト用サーバ」をインストールしている場合のみ影響があります。
詳細
WebOTXのWeb版統合運用管理コンソールをフレーム内に不可視状態で表示している悪意のある外部サイトに対して、Web版統合運用管理コンソールにログインした状態でアクセスした場合、意図しないWebOTXの運用管理操作を実行してしまう可能性があります。
対処方法
Web版統合運用管理コンソールのレスポンスヘッダに「X-FRAME-OPTIONS」を指定して、外部サイトのフレーム内にWeb版統合運用管理コンソールが表示されないようにしたパッチを提供しています。
V6以降をご使用の場合は、次のパッチを適用してください。
このパッチは、クリックジャッキング脆弱性に対する修正のみを含みます。
V4またはV5をご使用の場合は、お問い合わせください。
(注意) パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
まだ契約がお済でないお客様は、保守契約締結の後、ダウンロードをお願いいたします。
回避方法
Web版統合運用管理コンソールにログインした状態で外部のサイトにアクセスしないようにして回避してください。
関連情報
本脆弱性の詳細は、以下のURLを参照してください。
更新履歴
本サイトについてのご注意
-
弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、それぞれの情報におきまして内容を予告なく変更することがありますので、あらかじめご了承ください。
-
本サイトに掲載した製品には他社の製品も含まれており、これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
-
本サイトは弊社製品のセキュリティ情報の提供を目的としております。 掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、お客様には常に最新の情報をご確認いただけますようお願い申し上げます。
製品名カテゴリ
WebOTX
WebOTX Application Server
WebOTX Service Integration
WebOTX Portal
-
コンテンツID:
3010101580
-
公開日:
2016年01月14日
-
最終更新日:2017年12月21日