高機能アクセス解析CGI Standard版・Professional版 ユーザーのみなさま
高機能アクセス解析CGI Standard版・Professional版において、管理者になりすまして、アクセス解析結果を閲覧される可能性がある脆弱性が確認されました。対策を施した新バージョンをリリースいたします。
概要
ログイン時に発行されるセッションキーが、乱数要素がない文字列をもとに生成されているため、推測される可能性があります。もし推測が成功すると、管理者になりすまして、アクセス解析結果を閲覧される可能性があります。最新版ではセッションキーを乱数要素から生成するようにいたしました。
影響を受けるバージョン
Standard版:バージョン 4.0.1 およびそれ以前のバージョンにおいて、上記脆弱性が存在しています。
Professional版:バージョン 4.11.3 およびそれ以前のバージョンにおいて、上記脆弱性が存在しています。
想定される影響
遠隔の第三者が、高機能アクセス解析 CGI の管理者になりすまし、ウェブページのアクセス結果を閲覧する可能性があります。
対処方法
高機能アクセス解析 CGI Standard版ご利用の方は、最新版にバージョンアップしていただきますよう、お願い申し上げます。高機能アクセス解析 CGI Standard版のページより、最新版をダウンロードして下さい。
- Standard版:http://www.futomi.com/library/accs.html
- Professional版: http://www.futomi.com/library/accp.html
- Standard版のバージョンアップ方法
-
ダウンロードしたら、zipファイルを解凍し、高機能アクセス解析 CGI Standard版が保存されているフォルダー内に、confフォルダを除き、すべてをFTPを使って上書きアップロードして下さい。confフォルダを上書きすると、設定が初期化されてしまいますので注意してください。もしconfフォルダを上書きしてしまった場合は、設定ファイル config.cgiを再度設定し直してください。
インストール方法の詳細は、こちらのマニュアルをご覧ください。
- Professional版
-
acc/data/config.cgi 以外のすべてのファイルを上書きアップロードしてください。
インストール方法の詳細は、こちらのマニュアルをご覧ください。
関連情報
JVN#07468800 futomi's CGI Cafe 製高機能アクセス解析CGI におけるセッション ID が推測可能な脆弱性
謝辞
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づきIPAおよびJPCERT/CC が弊社との調整を行いました。
更新履歴
2008-12-16 Professional版を追記しました。