公開日: 2014/11/14  最終更新日: 2014/11/14

独立行政法人情報処理推進機構 (IPA)からの情報

脆弱性識別番号:JVN#89852154
脆弱性タイトル:iLogScanner におけるクロスサイトスクリプティングの脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊機構で公開している「ウェブサイトの攻撃兆候検出ツール iLogScanner」において、クロスサイトスクリプティングの脆弱性が存在することを確認いたしました。

iLogScannerが出力するHTML形式の解析結果レポートをブラウザで表示する際に、任意のコードがブラウザ上で実行される可能性があります。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称;iLogScanner (オンライン版/オフライン版)
該当バージョン:V4.0 (V4.0未満のバージョンは影響を受けません)

なお、使用しているバージョン番号の確認方法は以下の通りです。
・iLogScanner オンライン版の場合
iLogScanner起動時に表示される「このアプリケーションを実行しますか。」画面の【名前】欄から確認することができます。
 「V4.0」と記載されている場合、脆弱性を含むバージョンです。
・iLogScanner オフライン版の場合
iLogScannerオフライン版(GUI)起動後、表示された設定画面の上部のタイトルから確認することができます。
 「iLogScanner(オフライン版) V4.0」と記載されている場合、脆弱性を含むバージョンです。

■脆弱性の説明
「ウェブサイトの攻撃兆候検出ツール iLogScanner」の解析結果レポートの出力機能において、クロスサイトスクリプティングの脆弱性が存在します。

■脆弱性がもたらす脅威
悪意を持ったログをiLogScannerで解析した際に、出力されたHTML形式のレポートをブラウザで表示すると任意のコードを実行される可能性があります。

■対策方法
対策版のV4.0.1を、弊機構のiLogScannerのページで公開しています。
・iLogScanner オンライン版の場合
 修正版を公開しておりますので、そのままご利用ください。
・iLogScanner オフライン版の場合
 対策版のV4.0.1をダウンロードしてお使いください。すでにV4.0版をダウンロードして利用されている場合は、V4.0版を削除してからお使いください。

本脆弱性情報に関しては、以下の URL にて対策を公開しています。
ウェブサイトの攻撃兆候検出ツール iLogScanner

更新履歴

2014/11/14