[緊急]ServerViewのWebブラウザにおける脆弱性に関するお知らせ

ServerViewの脆弱性について

日頃は、弊社製品をご愛用いただきまして誠にありがとうございます。

ServerViewの以下のコンポーネントにおいて、Webブラウザにおける脆弱性の問題が確認されました。
発生する事象、対象製品とその対策に関しましてご案内申し上げます。

【モジュール名】

• ServerView AlarmService
• ServerView WebExtension
• ServerView S2

【内容】

1. 任意のファイルを読出しできるディレクトリトラバーサル脆弱性
   遠隔の第三者により、任意のファイルを外部から閲覧されてしまう恐れがあります。
2. 任意のスクリプトを実行することができるクロスサイトスクリプティング脆弱性
   遠隔の第三者により、悪意のあるスクリプトが実行されてしまい被害を受ける恐れがあります。

対象ソフトウェア

• ServerView V2.50 ～ V3.60L98
• ServerView V4.10L11 ～ V4.11L81

対象OS

• Microsoft® Windows NT® Server 4.0
• Microsoft® Windows NT® Server, Enterprise Edition 4.0
• Microsoft® Windows ® 2000 Server
• Microsoft® Windows ® 2000 Advanced Server
• Microsoft® Small Business Server 2000
• Microsoft® Windows Server™ 2003, Standard Edition
• Microsoft® Windows Server™ 2003, Enterprise Edition
• Microsoft® Windows Server™ 2003, Standard x64 Edition
• Microsoft® Windows Server™ 2003, Enterprise x64 Edition
• Microsoft® Windows Server™ 2003, Enterprise Edition for Itanium-Based Systems
• Microsoft® Windows ® Small Business Server 2003
• Microsoft® Windows Server™ 2003 R2, Standard Edition
• Microsoft® Windows Server™ 2003 R2, Enterprise Edition
• Microsoft® Windows Server™ 2003 R2, Standard x64 Edition
• Microsoft® Windows Server™ 2003 R2, Enterprise x64 Edition
  
  
• Red Hat Linux 7.2
• Red Hat Linux 7.3
• Red Hat Linux 8.0
• Red Hat Linux 9
• Red Hat Enterprise Linux AS (v.2.1 for x86)
• Red Hat Enterprise Linux ES (v.2.1 for x86)
• Red Hat Enterprise Linux AS (v.3 for x86)
• Red Hat Enterprise Linux ES (v.3 for x86)
• Red Hat Enterprise Linux AS (v.3 for Itanium)
• Red Hat Enterprise Linux AS (v.4 for x86)
• Red Hat Enterprise Linux ES (v.4 for x86)
• Red Hat Enterprise Linux AS (v.4 for EM64T)
• Red Hat Enterprise Linux ES (v.4 for EM64T)
• Novell SUSE LINUX Enterprise Server 9 for x86

対策

以下のServerViewを適用してください。

• ServerView V3.60L99以降 または V4.20L11B以降

ServerViewは、「ダウンロード検索ページ」にて公開しています。

謝辞

この脆弱性の問題は、IPA(独立行政法人 情報処理推進機構) に報告され、JPCERT / CC (有限責任中間法人 JPCERT コーディネーションセンター)より報告を受けました。