サイト内の現在位置を表示しています。

複数のXMLライブラリの実装に脆弱性

掲載番号:NV09-010脆弱性情報識別番号:VU#817433

概要

複数のXMLライブラリの実装には、XMLデータの解析に起因するメモリ参照エラーや無限ループなど複数の脆弱性が存在します。

対象製品

CLUSTERPRO

影響の有無

影響あり

対象となる製品のバージョン

Linux版:Ver3.0以降
Windows版:X1.0以降

対処方法

libxml2及びJRE内のxml libraryを利用しているため、対象となるxml library, JREのupdateを行ってください。

CSVIEW

影響の有無

影響あり

対象となる製品のバージョン

CSVIEW/Webアンケート すべてのバージョン

対処方法

CSVIEW/WebアンケートはXMLファイル処理にlibxml, libxml2のライブラリを使用しているため下記のRed Hatのサイトで紹介されているセキュリティパッチを適用してください。

RHSA-2009:1206-1 libxmlとlibxml2のセキュリティアップデート

セキュリティパッチ適用後の動作については確認済みです。

InfoFrame DocumentSkipper

影響の有無

影響あり

対象となる製品のバージョン
対象製品 同梱コンポーネント
DocumentSkipper Ver3.0~Ver3.2 JDK 1.4.2_08~11
DocumentSkipper/PC Ver4.0 JDK 1.4.2_13~15
DocumentSkipper/Mobile Ver4.0 JDK 1.4.2_13~15
InfoFrame DocumentSkipper/PC V4.1 JDK 1.4.2_13~15
InfoFrame DocumentSkipper/Mobile V4.1 JDK 1.4.2_13~15
InfoFrame DocumentSkipper V5.1 JDK 1.5.0.16
InfoFrame DocumentSkipper Mobile V5.1 JDK 1.5.0.17

対処方法

JDK、DocumentSkipper関連モジュールをアップデートする必要があります。
詳細につきましては弊社営業にお問合せください。

VALUESTAR、LaVie、Mate、VersaPro

影響の有無

影響あり

対象となる製品のバージョン

2005年夏モデルから2009年夏モデルのVALUESTARシリーズおよびLaVieシリーズ

対処方法

Javaの最新版をインストールしてください。

WebSAM LogCollector

影響の有無

影響あり

対象となる製品のバージョン

WebSAM LogCollector マネージャ for Windows R3.0以降 (R3.0、R3.1、R3.2、R3.3)

対処方法

以降の手順を参照して、JREをアップデートしてください。

(1)マネージャのサービスを停止してください。
サービス停止の手順は、マニュアル「WebSAM LogCollector マネージャ セットアップカード」の「4.1 マネージャの起動と終了」を参照してください。

(2)Sun Developer Network(SDN)のWebサイトから最新版のJREをダウンロードしてインストールを行ってください。
サービス停止の手順は、マニュアル「WebSAM LogCollector マネージャ セットアップカード」の「4.1 マネージャの起動と終了」を参照してください。

http://java.sun.com/javase/ja/6/download.html
(2009/11/10 時点での最新版は JRE 6 Update 17 です)

JRE 6 Update 10 以降のインストーラでは、古いバージョンのJREを削除してから対象のJREをインストールするようになっています。
ただし JRE 6 Update 7 以前のバージョンは、最新版のインストール時に自動的に削除されませんので、[コントロールパネル][プログラムの追加と削除]から別途削除してください。

(3)マネージャおよび管理コンソールで最新版のJREを使用するように設定してください。
最新版のJREを適用する手順は、マニュアル「WebSAM LogCollector マネージャ セットアップカード」の「2.7 最新JREの適用」を参照してください。
JREの更新ツールでは、インストール済みの最新版JREを検索します。事前に最新版JREをインストールしてからJRE更新ツールを実行してください。
JRE 6 Update 10 以降のバージョンからアップデートする場合、JRE更新ツールを実行したときに「マネージャが使用中のバージョンが削除されました」というメッセージが表示されますが、見つかったバージョンが更新対象のものであれば特に問題ありませんので、そのまま[OK]を選択して適用してください。

(4)上記の最新JREの適用を行った後に、マネージャのサービスを再起動してください。
サービス再起動の手順は、マニュアル「WebSAM LogCollector マネージャ セットアップカード」の「4.1 マネージャの起動と終了」を参照してください。

参考情報

Japan Vulnerability Notes JVNVU#817433:
複数の XML ライブラリの実装に脆弱性

CERT-FI:
CERT-FI Advisory on XML libraries

CVE
CVE-2009-1885, CVE CVE-2009-2625:

更新情報