高機能アクセス解析CGI Standard版・Professional版 ユーザーのみなさま
高機能アクセス解析CGI Standard版・Professional版において、クロスサイトスクリプティングの脆弱性が確認されました。ご利用のみなさまには、お手数ながら、下記の通りの対策をお願いも申し上げます。
概要
高機能アクセス解析CGI Professional版およびStandard版には、特定の解析タグ埋め込み方法に
起因するクロスサイトスクリプティングの脆弱性が存在します。
影響を受けるバージョン
- 高機能アクセス解析CGI Professional 版
- 高機能アクセス解析CGI Standard 版 4.0.2 およびそれ以前
※ Professional 版においては、"headタグ内に解析タグ用jsファイルをロードする方法" を使用している場合、本脆弱性の影響を受けません。
想定される影響
一部のブラウザにおいて、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対処方法
- Professional版をご利用の方
-
解析対象のページの
bodyタグ内にscriptタグを使って解析タグを埋め込んでいる場合は、まずそれらの解析タグを削除してください。そして、"headタグ内に解析タグ用jsファイルをロードする方法" に変更してください。詳細は、マニュアルの「解析タグの仕込み」欄をご覧ください。 - Standard版をご利用の方
-
最新バージョンにアップデートしてください。
現在、解析対象のページの
bodyタグ内に埋め込まれている解析タグを削除してください。そして、解析タグの記述方法を、"headタグ内に解析タグ用jsファイルをロードする方法" に変更してください。詳細は、マニュアルの「解析タグの仕込み」欄をご覧ください。
バージョンアップ方法
- Professional版をご利用の方
-
CGI のバージョンアップは不要です。前述の解析タグの記述方法のみを変更してください。
- Standard版をご利用の方
-
バージョンアップの方法については、マニュアルの「バージョンアップ方法 」欄をご覧ください。バージョンアップ後に、前述の解析タグの記述方法を変更してください。
関連情報
JVN#35605523 futomi's CGI Cafe 製高機能アクセス解析CGI におけるクロスサイトスクリプティングの脆弱性
謝辞
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: NRIセキュアテクノロジーズ 小林克巳 氏