脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア |
深刻度 |
|---|---|---|---|---|
|
CVE-2024-45504
|
InterScan WebManager |
9.0, 9.0 Service Pack 1 |
6.5 | 中 |
脆弱性の概要
CVE-2024-45504: クロスサイトリクエストフォージェリの脆弱性
CVSSv3: 6.5: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
InterScan WebManagerの管理コンソールにログインしたユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。
対処方法
以下の通り、当該脆弱性を修正するPatchをリリースしております。これらの適用をお願いいたします。
| 製品/コンポーネント/ツール | バージョン | 修正Patch | Readme |
|---|---|---|---|
|
InterScan WebManager |
9.0, 9.0 Service Pack 1 |
9.0 Service Pack 1 Build 1210 |
Readme |
| 9.1, 9.1 Service Pack 1, 9.1 Service Pack 2, 9.1 Service Pack 3, 9.1 Service Pack 4 |
9.1 Service Pack 4 Build 1653 ※Service Pack 4未満をご利用の場合、適用前にService Pack 4へのアップグレードが必要です。 |
Readme |
また、InterScan WebManager 9.1 Service Pack 4 Build 1650をご利用の場合に限り、以下の設定変更でも脆弱性への対応が可能です。
==[設定変更手順]==
・プライマリサーバ/レプリカサーバ構成の場合は、プライマリサーバでのみ以下の手順を実施してください。
・本設定変更は、InterScan WebManager 9.1 Service Pack 4 Build 1650でのみ有効です。
・設定変更を元に戻す場合は、手順3の「<Context>タブ内の末尾に以下の1行を追記します。」を「<Context>タブ内の末尾に追記した以下1行を削除します。」に読み替えていただいて、以下の手順1~4を実施してください。
1.InterScan WebManagerのLinux OS/Windows OSに管理者権限を持つアカウントでログインします。
2.以下のcontext.xmlファイルをエディタで開きます。
Linux版:
<インストールディレクトリ>/tomcat/conf/context.xml
Windows版:
<インストールフォルダ>\tomcat\conf\context.xml
※<インストールディレクトリ>のデフォルトは/usr/local/iswmです。
※<インストールフォルダ>のデフォルトはC:\ISWMです。
3.<Context>タブ内の末尾に以下の1行を追記します。
<CookieProcessor className="org.apache.tomcat.util.http.Rfc6265CookieProcessor" sameSiteCookies="strict" />
--(追記例)--
<?xml version="1.0" encoding="UTF-8"?>
<!--
Licensed to the Apache Software Foundation (ASF) under one or more
contributor license agreements. See the NOTICE file distributed with
this work for additional information regarding copyright ownership.
The ASF licenses this file to You under the Apache License, Version 2.0
(the "License"); you may not use this file except in compliance with
the License. You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<!-- The contents of this file will be loaded for each web application -->
<Context>
<!-- Default set of monitored resources. If one of these changes, the -->
<!-- web application will be reloaded. -->
<WatchedResource>WEB-INF/web.xml</WatchedResource>
<WatchedResource>WEB-INF/tomcat-web.xml</WatchedResource>
<WatchedResource>${catalina.base}/conf/web.xml</WatchedResource>
<!-- Uncomment this to disable session persistence across Tomcat restarts -->
<!--
<Manager pathname="" />
-->
<CookieProcessor className="org.apache.tomcat.util.http.Rfc6265CookieProcessor" sameSiteCookies="strict" />
</Context>
----
4.拡張Webサービスの再起動を行います。
Linux版:
以下のコマンドを実行します。
# <インストールディレクトリ>/bin/amsweb restart
※<インストールディレクトリ>のデフォルトは/usr/local/iswmです。
Windows版:
Windowsメニューの[コントロールパネル] - [サービス]からサービス名「ISWMWebService」を再起動します。
====
参照情報
JVNアドバイザリ(2024年9月9日の午後に公開予定です)
https://jvn.jp/jp/JVN05579230/