FileMakerのクロスサイトスクリプティング脆弱性とホスティングサービスにおける対策について

株式会社エミック
公開日:2007年11月22日

概要

2007年11月21日にFileMaker製品のクロスサイトスクリプティング(XSS)脆弱性に関する情報が一般に公開されました。FileMakerのバージョン7、8および8.5のインスタントWeb公開機能がその問題の影響を受けます。本脆弱性は株式会社エミックによって発見されたものであり、弊社のホスティングサービス(対象プラン:プラン7およびプラン8)では、弊社で独自の対策を行ってソフトウェアの脆弱性を回避しており、本脆弱性による情報漏洩等の危険はありません。

詳細

2007年11月21日に、IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)から、FileMaker製品のクロスサイトスクリプティング(XSS)脆弱性に関する情報が一般に公開されました。詳細情報については下記URLをご参照ください。

FileMakerにはデータベースの内容をWebサイトとして公開できる「インスタントWeb公開」機能がありますが、FileMakerのバージョン7、8および8.5のインスタントWeb公開機能には、クロスサイトスクリプティングの脆弱性が存在します。なお、インスタントWeb公開機能を無効にしている場合には、脆弱性の影響を受けません。

脆弱性の存在が確認されているFileMaker製品は下記のとおりです。なお、FileMaker 9 製品ラインは本脆弱性の影響を受けません。

  • FileMaker Pro 7(Mac版、Windows版)
  • FileMaker Developer 7(Mac版、Windows版)
  • FileMaker Pro 8(Mac版、Windows版)
  • FileMaker Pro 8 Advanced(Mac版、Windows版)
  • FileMaker Pro 8.5(Mac版、Windows版)
  • FileMaker Pro 8.5 Advanced(Mac版、Windows版)
  • FileMaker Server 7 Advanced(Mac版、Windows版)
  • FileMaker Server 8 Advanced(Mac版、Windows版)

本脆弱性は株式会社エミックによって発見されたものであり、弊社のホスティングサービス(対象プラン:プラン7およびプラン8)では、発見直後に弊社で独自の対策を行ってソフトウェアの脆弱性を回避しています。インスタントWeb公開機能を有効にしている状態においても、今回公表されたクロスサイトスクリプティングの脆弱性が発生しないように対処されており、本脆弱性が原因となって情報漏洩やフィッシングサイトとして悪用される等の危険はありません。

脆弱性情報の取り扱いについて

本脆弱性情報は、IPA(情報処理推進機構)の情報セキュリティ早期警戒パートナーシップガイドラインに基づき、株式会社エミックがIPAに報告し、JPCERT/CCがベンダーとの調整を行いました。