クロスサイトスクリプティング脆弱性への対応について(Netshelterシリーズ)
1.概要
セキュリティ専用装置Netshelter / FW-MおよびNetshelter / FW-Lにおいて、ファームウェアとともに提供しているログサーバソフトウェアにクロスサイトスクリプティング脆弱性の存在が確認されました。
本脆弱の内容と対応策について通知致します。
2.内容
2-1.脆弱性内容および影響範囲について
2-1-1.脆弱性内容
「クロスサイトスクリプティング脆弱性」はIPA(注)などにより、悪意を持った第三者がログサーバにアクセスし、JavaScriptなどのスクリプトコードを埋め込むことによって他の正規ユーザの情報を詐取したり、その他様々な問題を引き起こすものとして広報されている脆弱性です。
当社製品「Netshelter / FW-L」「Netshelter / FW-M」のログサーバにおいても、この脆弱性の存在が確認されました。
(注)IPA:Information-technology Promotion Agency(情報処理振興事業協会)
2-1-2.影響範囲
該当装置において、製品添付のログサーバソフトウェアを使用している場合に、本脆弱性の影響を受ける可能性があります。
ただし、ログサーバへのアクセスは必ずNetshelterを経由するため、外部の悪意ある第三者が直接ログサーバへアクセスすることは困難であり、本脆弱性の影響を受ける可能性は非常に小さいと考えられます。
2-1-3.該当装置およびファームウェア版数
以下製品が対象となります。なお装置ファームウェア版数は、設定画面のメニュー項目「システム情報 > 稼動状況」にて確認できます。
| 機種名 | 型名 | 該当ファームウェア版数 |
|---|---|---|
| Netshelter / FW-M | LSF500A | E10L10~E10L32(全版数) |
| Netshelter / FW-L | LSF300A |
(注)ログサーバはNetshelterのファームウェアに同梱されています。
以下の製品は対象外となります。
| 機種名 | 型名 | 備考 |
|---|---|---|
| Netshelter / FW-G | LSF1000A | ログサーバ機能を持たないため対象外 |
| Netshelter / FW-P | LSF200A、LSF250A、LSF250ALW | |
| Netshelter / FW | LSF100、LSF100A、LSF150A、LSF150ALW | |
| Netshelter / VW | LSW100BU1、LSW100BU2、LSW100BU3 |
3.本脆弱性への対策
3-1.対応ファームウェアについて
本脆弱性の対応ファームウェアを2月20日より無償で提供します。
なお当面の対応策として、Netshelterの設定操作を管理者端末に固定させることで、外部だけでなく内部からの不正アクセスに対しても回避可能です。
3-2.対応ファームウェアの版数
| 機種名 | 型名 | 脆弱性対応 ファームウェア版数 |
|---|---|---|
| Netshelter / FW-M | LSF500A | E10L33 |
| Netshelter / FW-L | LSF300A |
3-3.ファームウェアの入手方法
ご購入いただいた販売会社、または弊社担当営業へお申し付け下さい。
インストールはお客様ご自身での作業となります。
なお、弊社技術員によるインストールサービスも有償にて提供しております。
ご購入いただいた販売会社、または、弊社担当営業にお問い合わせ下さい。
お問い合わせ先
本件に関するご質問はご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
サービスビジネス本部
ネットワークビジネス推進統括部 ネットワークサービス推進部
Tel: 03-6424-6263(直通)
