FAMLog
FileMakerのインスタントWeb公開機能にXSS脆弱性
November 22, 2007
IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)が、FileMakerのクロスサイトスクリプティング(XSS)脆弱性に関する情報を2007年11月21日に公開しています。
脆弱性の内容は、FileMakerのバージョン7、8および8.5のインスタントWeb公開機能に、クロスサイトスクリプティングの脆弱性が存在するというものです。
脆弱性が確認されているFileMaker製品は下記のとおりです。
・FileMaker Pro 7(Mac版、Windows版)
・FileMaker Pro 8(Mac版、Windows版)
・FileMaker Pro 8.5(Mac版、Windows版)
・FileMaker Developer 7(Mac版、Windows版)
・FileMaker Pro 8 Advanced(Mac版、Windows版)
・FileMaker Pro 8.5 Advanced(Mac版、Windows版)
・FileMaker Server 7 Advanced(Mac版、Windows版)
・FileMaker Server 8 Advanced(Mac版、Windows版)
なお、FileMaker 9 製品ラインでは本脆弱性は修正されています。
2007年11月22日現在、バージョン7、8および8.5用の修正パッチは提供されていないため、現時点で実行できる対策方法はFileMaker 9 製品ラインへアップグレードすることです。FileMaker 9 製品ラインへアップグレードしない場合には、インスタントWeb公開機能を無効にすることで本脆弱性を回避することが可能です。
[関連]JVN#55833292
「FileMaker」におけるクロスサイト・スクリプティングの脆弱性 (IPA)
(2007/11/23追記:誤記を修正し、「修正パッチは提供されていため、」を「修正パッチは提供されていないため、」に修正しました。)