CA サポートは CA SiteMinder にセキュリティに関する潜在的なリスクがあることをお知らせいたします。脆弱性が存在し、これにより悪意のあるユーザが折り返し型クロスサイト スクリプティング(XSS)攻撃を行うことが可能です。CA Technologies では、この脆弱性に対応したパッチを提供しています。
脆弱性 CVE-2011-4054 は、login.fcc フォームで使用される postpreservationdata パラメータ インプットの検証が不十分であることに起因しています。悪意のあるユーザは、被害者のブラウザを事実上乗っ取る、精巧に作られた特別なリクエストを送信することができます。
CA SiteMinder R6 SP6 CR7 及びそれ以前のリリース
CA SiteMinder R12 SP3 CR8及びそれ以前のリリース
CA SiteMinder R12 SP3 (日本語版) CR1 およびそれ以前のリリース
CA SiteMinder R6 SP6 CR8
CA SiteMinder R12 SP3 CR9
インストールされたリリースの確認は、Web エージェントのログもしくはインストール ログをご確認ください。ただし、“webagent.log” というファイル名は、SiteMinder 管理者によって変更可能ですので注意が必要です。
この脆弱性に対応するパッチを公開しています。
CA SiteMinder R6:
2012年1月にリリースを予定している R6 SP6 CR8 以降のリリースへアップグレードしてください。
CA SiteMinder R12:
R12 SP3 CR9 以降のリリースにアップグレードしてください。
CA SiteMinder R12 SP3 (日本語版):
2012年5月3日にリリースいたしました SM-12.0-SP03-CR001 Japanese(Fix number: RS45377) を適用してください。
CR リリースは、CA SiteMinder の CA SiteMinder Hotfix/Cumulative Release ページでご確認いただけます。
https://support.ca.com/irj/portal/anonymous/phpdocs?filePath=0/5262/5262_fixindex.html
CVE-2011-4054 - CA SiteMinder login.fcc XSS
CVE-2011-4054 - Jon Passki of Aspect Security, via CERT
バージョン 1.0 : 初回リリース
バージョン 1.1 : 2012年1月16日現在の情報に基づき、日本語版向けパッチのリリース時期を修正。
バージョン 1.2 : 日本語版向けパッチに関する記述を修正
さらに詳しい情報が必要な場合は、CA Technologies サポート(https://support.ca.com )までご連絡ください。
弊社製品に脆弱性が見つかった場合は、弊社の担当者までご連絡ください。
