ニュース
» 2007年11月21日 16時07分 公開

FileMakerにXSSの脆弱性 対策はバージョン9への更新

データベースソフトウェア「FileMaker」にクロスサイトスクリプティング(XSS)の脆弱性が見つかった。

[ITmedia]

 ファイルメーカーのデータベースソフトウェア「FileMaker」にクロスサイトスクリプティング(XSS)の脆弱性が見つかったとして、IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は11月21日、JVN(Japan Vulnerability Notes)に情報を公開した。問題の影響を受けるのは、FileMaker Pro/Server 7および8などで、修正パッチは提供されていない。

 FileMakerには、データベースの内容をWebサイトとして公開できる機能(「インスタントWeb公開」)があるが、Webページを出力する際の処理が不適切なため、任意のスクリプトが埋め込まれる脆弱性があるという。ユーザーが細工を施したサイトからFileMakerのWeb公開機能で公開されたページへ誘導されると、ページをブラウザ上に表示する際に、URLに含まれたスクリプトが意図しない形で実行される恐れがある。

 このXSSの脆弱性が確認されているのは以下の製品。最新のFileMaker 9シリーズはこの問題の影響を受けない。

  • FileMaker Pro 7(Windows/Mac対応版)
  • FileMaker Developer 7(Windows/Mac対応版)
  • FileMaker Server 7 Advanced(Windows/Mac対応版)
  • FileMaker Pro 8.x(Windows/Mac対応版)
  • FileMaker Pro 8.x Advanced(Windows/Mac対応版)
  • FileMaker Server 8.x(Windows/Mac対応版)
  • FileMaker Server 8.x Advanced(Windows/Mac対応版)

 現在、ファイルメーカーからはFileMaker 7.x/8.x向けのセキュリティ修正パッチが提供されていないため、IPAではFileMaker 9シリーズにアップグレードすることを推奨している。9シリーズにアップグレードしない場合の回避策は、Web公開機能を利用しないこと。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -