FreeNAS におけるクロスサイトスクリプティングの脆弱性

現在位置

English Edition

LAC Advisory No.101
FreeNAS におけるクロスサイトスクリプティングの脆弱性

Problem first discovered on:Tue, 21 Apr 2009
Published on: Wed, 5 Aug 2009

脅威度:
低

概要:
「FreeNAS」には、クロスサイトスクリプティングの脆弱性が存在します。ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

詳細:
オープンソースで開発されている「FreeNAS」は、ファイルサーバ機能に特化し、ウェブインターフェースによる管理機能を備えたOSです。

「FreeNAS」には、クロスサイトスクリプティングの脆弱性が存在します。この問題を悪用されることで、ユーザのウェブブラウザ上で任意のスクリプトが実行可能なため、ユーザが意図しない動作をさせられる可能性があります。

また、その他の脆弱性があった場合に、組み合わせて攻撃に利用される可能性があります。

影響を受けるバージョン:
FreeNAS 0.69.1 およびそれ以前

対策:
開発者が提供する対策済みバージョンへアップデートしてください。

発見者:
新柴博之（LAC）

謝辞:
本問題は、情報処理推進機構（IPA）および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN89791790/
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000052.html

免責:
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について:
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/101.html