[セキュリティ情報] PowerChute Business Edition におけるクロスサイトスクリプティングの脆弱性について (2011年12月公開)

このページではJPCERT/CCから公開されたJVN#61695284 PowerChute Business Edition におけるクロスサイトスクリプティングの脆弱性について記述しています。

【緊急度】
低

本脆弱性は、日本国内でリリースのPowerChute Business Editionでは一般にサポートされていない機能に関するもののため、
国内のユーザへの影響はほとんどありません。
また、PowerChute Business Editionをイントラネット等社内ネットワークで使用している場合の影響はありません。


【対象製品】
PowerChute Business Edition v8.0.1 および それ以前のバージョン

・ v9.0.1およびそれ以降のバージョンでは修正されています


【対処方法】
PowerChute Business Edition v8.0.1以前のバージョンでは、以下のいずれかの方法を実施してください。

(1) PowerChute Business Editionをインターネット等の外部ネットワークからの不特定のアクセスが行われないファイアウォールの内側で使用する。
イントラネット等社内ネットワークで使用している場合の影響はありません。

(2) PowerChute Business Edition AgentをインストールしたコンピュータのTCP 3052ポートをオープンしない。もしくは、ファイアウォールでブロックする
当脆弱性はポートTCP 3052に関するものです。通常のインターネットのWebで使用されるTCP 80とは異なります。
TCP 3052をブロックしてもPowerChute Business Editionの機能には影響ありません。