Japan
サイト内の現在位置を表示しています。
iframeを使用するWebシステムにクリックジャッキングの脆弱性
掲載番号:NV15-019
脆弱性情報識別番号:JVN#48135658
概要
ログイン認証後、iframeを使用して別のhtml文書を読み込ませているWebシステムにおいて、
X-FRAME-OPTIONSを指定していない場合はクリックジャッキングの脆弱性が存在します。
攻撃者によって、設定を初期化されたり製品を再起動されたりする可能性があります。
対象製品
ESMPRO/ServerManager
影響の有無
影響あり
対象となる製品のバージョン
- 全バージョン
対処方法
[対策]
次のページにて、ESMPRO/ServerManager 6.06 以降にバージョンアップしてください。
https://www.support.nec.co.jp/View.aspx?id=9010103524
https://www.support.nec.co.jp/View.aspx?id=9010103524
[回避策]
Webシステムで利用しているブラウザをログアウト後に閉じ、かつ、セッション情報をクリアしてください。
ESMPRO/UPSManager
影響の有無
影響あり
対象となる製品のバージョン
- PowerCute Business Edition v9.1.1 およびそれ以前のバージョン(※)
- ESMPRO/UPSManager Ver2.7 (PowerCute Business Editionセット)およびそれ以前のバージョン(※)
('※) 本製品に含まれる旧 UPS (LCD パネルなし UPS ) を使用時に動作する PowerCute Business Edition Agent が影響を受けます。PowerCute Business Edition v9.1.1 と ESMPRO/UPSManager Ver2.7 の場合には、PowerCute Business Edition Agent v9.0.3 が対象となります。
対処方法
[対策]
次のバージョンの PowerChute Business Edition Agent で対応完了しています。
バージョンアップの詳細につきましては弊社営業にお問合せください。
バージョンアップの詳細につきましては弊社営業にお問合せください。
- PowerChute Business Edition Agent v9.1.1
[回避策]
ファイアウォール等でネットワークの外部から本製品へのアクセスを制限する。
InfoCage 不正接続防止
影響の有無
影響あり
対象となる製品のバージョン
InfoCage 不正接続防止 V3.1以降
対処方法
[対策]
- InfoCage 不正接続防止 V5.1
- 自動設定で新規インストールする場合
ISS設定にX-FRAME-OPTIONSの指定を追加するようプログラムを修正しました。- 手動設定で新規インストール/バージョンアップする場合
- InfoCage 不正接続防止 V5.1より前のバージョン
- InfoCage 不正接続防止 V5.1にバージョンアップしてください。
最新のマニュアルを参照いただき、ISS設定にX-FRAME-OPTIONSの指定を追加
してください。
してください。
IP38Xシリーズ
影響の有無
影響あり
IP38Xシリーズの GUI 設定画面がこの脆弱性の影響を受け、意図しない機能を
実行させられる可能性があります。
IP38Xシリーズの GUI 設定画面がこの脆弱性の影響を受け、意図しない機能を
実行させられる可能性があります。
対象となる製品のバージョン
| 装置シリーズ名 | バージョン |
| IP38X/1210 | 全てのリビジョン |
| IP38X/FW120 | Rev.11.03.08以前 |
| IP38X/810 | Rev.11.01.21以前 |
| IP38X/N500 | Rev.11.00.25以前 |
| IP38X/1200 | Rev.10.01.59以前 |
| IP38X/SR100 | 全てのリビジョン |
| IP38X/58i | 全てのリビジョン |
| IP38X/107e | 全てのリビジョン |
| IP38X/1500 | 全てのリビジョン |
| IP38X/1100 | 全てのリビジョン |
| IP38X/V01 |
全てのリビジョン |
対処方法
[対策]
この脆弱性への対策をした以下のファームウェアへのリビジョンアップをお願いします。
また、対策済のファームウェアをご利用いただくと同時に、PC側でもクリックジャッキング
対策のされたウェブブラウザをご使用いただく必要がございます。
※ ご利用のウェブブラウザの対策状況につきましては、各ウェブブラウザの製品ベンダ
へご確認ください。
また、対策済のファームウェアをご利用いただくと同時に、PC側でもクリックジャッキング
対策のされたウェブブラウザをご使用いただく必要がございます。
※ ご利用のウェブブラウザの対策状況につきましては、各ウェブブラウザの製品ベンダ
へご確認ください。
| 装置シリーズ名 | バージョン |
| IP38X/1210 | 順次リリース予定 |
| IP38X/FW120 | Rev.11.03.13 |
| IP38X/810 | Rev.11.01.25 |
| IP38X/N500 | Rev.11.00.28 |
| IP38X/1200 | Rev.10.01.65 |
| IP38X/SR100 | 順次リリース予定 |
| IP38X/58i | 順次リリース予定 |
| IP38X/107e | 順次リリース予定 |
| IP38X/1500 | 順次リリース予定 |
| IP38X/1100 | 順次リリース予定 |
| IP38X/V01 |
順次リリース予定 |
脆弱性の対策済みファームウェアの使用が困難な場合、以下の設定で回避する
ことができます。
ことができます。
- 管理者パスワードを設定し、そのパスワードをウェブブラウザに記憶させない
ように設定する。この設定をした上で、GUI設定画面での作業が終わったら、
必ず、一度、ウェブブラウザを閉じる。
なお、IP38X/SR100とIP38X/FW120以外は、工場出荷状態では管理者パスワード
が設定されておりません。
iStorage HSシリーズ
影響の有無
影響あり(※)
※ iStorage HS の管理 GUI を操作される可能性があります。
※ iStorage HS の管理 GUI を操作される可能性があります。
対象となる製品のバージョン
- Ver 4.4.1 以前のバージョン
対処方法
[対策]
- Ver 5.0.0 以降にアップデートする。
- 修正物件 P4.4.1-N002 を適用する(Ver 4.4.1 をご利用の場合)。
アップデートや修正物件の詳細につきましては弊社営業にお問合せください。
iStorage M/D/S/A/E シリーズ
影響の有無
影響あり
対象となる製品のバージョン
- iStorageManager 全バージョン(※)
※ iStorage ダッシュボード機能を使用している場合のみ影響を受けます。
対処方法
[対策]
iStorage ダッシュボード機能のサイトを登録した Internet InformationServices(IIS) にて、 X-FRAME-OPTIONS を設定してください。
手順の詳細は以下の URL を参照ください。
【iStorage M/D/S/A/E シリーズ】クリックジャッキング脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3150110159
手順の詳細は以下の URL を参照ください。
【iStorage M/D/S/A/E シリーズ】クリックジャッキング脆弱性への影響と対策について
https://www.support.nec.co.jp/View.aspx?id=3150110159
IX1000/IX2000/IX3000シリーズ
影響の有無
影響あり
Web コンソールを有効にしている場合、Web コンソールにログイン済みのユーザが、 細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があります。
Web コンソールを有効にしている場合、Web コンソールにログイン済みのユーザが、 細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があります。
対象となる製品のバージョン
- Ver.9.1.11 以前の全バージョン
対処方法
[対策]
最新版で対応しています。
修正ソフトウェアへのバージョンアップ手順につきましては、装置を購入した営業窓口までお問い合わせください。
修正ソフトウェアへのバージョンアップ手順につきましては、装置を購入した営業窓口までお問い合わせください。
WebOTX
影響の有無
影響あり
対象となる製品のバージョン
V9.31(WebOTX Media V9 Release 6 に格納)以降の製品は該当いたしません。
(*1) WebOTX 開発環境およびWebOTX Developerは、「テスト用サーバ」をインストールしている場合のみ影響があります。
- WebOTX Application Server Express V9.1~V9.3
- WebOTX Application Server Standard V9.1~V9.3
- WebOTX Application Server Enterprirse V9.1~V9.3
- WebOTX Enterprise Service Bus V9.2
- WebOTX Portal V9.1~V9.3
- WebOTX Developer V9.1~V9.3 (*1)
- WebOTX Application Server Web Edition V8.1
- WebOTX Application Server Standard-J Edition V8.1
- WebOTX Application Server Express V8.2~V8.5
- WebOTX Application Server Foundation V8.2~V8.5
- WebOTX Application Server Standard V8.2~V8.5
- WebOTX Application Server Enterprise V8.2~V8.5
- WebOTX SIP Application Server V8.1
- WebOTX Enterprise Service Bus V8.1~8.5
- WebOTX Portal V8.3~V8.4
- WebOTX Developer V8.1~V8.4 (*1)
- WebOTX Application Server Web Edition V7.1
- WebOTX Application Server Standard-J Edition V7.1
- WebOTX Application Server Standard Edition V7.1
- WebOTX Application Server Enterprise Edition V7.1
- WebOTX SIP Application Server V7.1
- WebOTX Enterprise Service Bus V7.1
- WebOTX Developer V7.1 (*1)
- WebOTX UDDI Registry V7.1
- WebOTX Web Edition V6.1~V6.5
- WebOTX Standard-J Edition V6.1~V6.5
- WebOTX Standard Edition V6.2~V6.5
- WebOTX Enterprise Edition V6.2~V6.5
- WebOTX Enterprise Service Bus V6.4~6.5
- WebOTX 開発環境 V6.1~V6.5 (*1)
- WebOTX UDDI Registry V3.1~V3.5
- ActiveGlobe WebOTX Web Edition V5.1~V5.3
- ActiveGlobe WebOTX Standard-J Edition V5.1~V5.3
- ActiveGlobe WebOTX Standard Edition V5.1~V5.3
- ActiveGlobe WebOTX Enterprise Edition V5.1~V5.3
- ActiveGlobe WebOTX UDDI Registry V2.1
(*1) WebOTX 開発環境およびWebOTX Developerは、「テスト用サーバ」をインストールしている場合のみ影響があります。
対処方法
[対策]
・パッチを適用する(WebOTX Portal)。
パッチを適用することで対処できます。
なお、パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
契約がお済でないお客様は、保守契約締結の後、下記からダウンロードをお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010107278
パッチを適用することで対処できます。
なお、パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
契約がお済でないお客様は、保守契約締結の後、下記からダウンロードをお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010107278
・下記お知らせにて詳細な情報を公開しております(WebOTX Portal以外)。
https://www.support.nec.co.jp/View.aspx?id=3010101580
V6 以降をご利用の場合は、パッチを適用することで対処できます。
なお、パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
契約がお済でないお客様は、保守契約締結の後、下記からダウンロードをお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010104382
V4 または V5 をご利用の場合は、弊社営業までお問い合わせください。
https://www.support.nec.co.jp/View.aspx?id=3010101580
V6 以降をご利用の場合は、パッチを適用することで対処できます。
なお、パッチモジュールは製品保守契約を結んでいただいたお客様に限定して提供させていただいています。
契約がお済でないお客様は、保守契約締結の後、下記からダウンロードをお願いいたします。
https://www.support.nec.co.jp/View.aspx?id=9010104382
V4 または V5 をご利用の場合は、弊社営業までお問い合わせください。
[回避策]
Web版統合運用管理コンソールにログインした状態で外部のサイトにアクセスしない。
WebSAM DeploymentManager
影響の有無
影響あり(CVE-2024-6466)
対象となる製品のバージョン
- Ver6.0~Ver6.80
対処方法
Ver6.81以降にバージョンアップください。
参考情報
Japan Vulnerability Notes JVN#48135658:
複数のルータ製品におけるクリックジャッキングの脆弱性
https://jvn.jp/jp/JVN48135658/index.html
iframeを使用するWebシステムにクリックジャッキングの脆弱性、WebSAM DeploymentManagerの問題(CVE-2024-6466)(English)
https://jpn.nec.com/security-info/secinfo/nv15-019_en.html
更新情報
- 2025/01/21
- 2018/03/23
- 2016/08/18
- 2015/11/11
- 2015/10/30