高機能アクセス解析CGIをご利用の方へバージョンアップおよび解析タグ変更のお願い

高機能アクセス解析CGI Standard版・Professional版 ユーザーのみなさま

高機能アクセス解析CGI Standard版・Professional版において、クロスサイトスクリプティングの脆弱性が確認されました。ご利用のみなさまには、お手数ながら、下記の通りの対策をお願いも申し上げます。

概要

高機能アクセス解析CGI Professional版およびStandard版には、特定の解析タグ埋め込み方法に
起因するクロスサイトスクリプティングの脆弱性が存在します。

影響を受けるバージョン

※ Professional 版においては、"headタグ内に解析タグ用jsファイルをロードする方法" を使用している場合、本脆弱性の影響を受けません。

想定される影響

一部のブラウザにおいて、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

対処方法

Professional版をご利用の方

解析対象のページの body タグ内にscript タグを使って解析タグを埋め込んでいる場合は、まずそれらの解析タグを削除してください。そして、"headタグ内に解析タグ用jsファイルをロードする方法" に変更してください。詳細は、マニュアルの「解析タグの仕込み」欄をご覧ください。

Standard版をご利用の方

最新バージョンにアップデートしてください。

現在、解析対象のページの body タグ内に埋め込まれている解析タグを削除してください。そして、解析タグの記述方法を、"headタグ内に解析タグ用jsファイルをロードする方法" に変更してください。詳細は、マニュアルの「解析タグの仕込み」欄をご覧ください。

バージョンアップ方法

Professional版をご利用の方

CGI のバージョンアップは不要です。前述の解析タグの記述方法のみを変更してください。

Standard版をご利用の方

バージョンアップの方法については、マニュアルの「バージョンアップ方法 」欄をご覧ください。バージョンアップ後に、前述の解析タグの記述方法を変更してください。

関連情報

JVN#35605523 futomi's CGI Cafe 製高機能アクセス解析CGI におけるクロスサイトスクリプティングの脆弱性

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。

報告者: NRIセキュアテクノロジーズ 小林克巳 氏