テクニカルFAQ

質問

[セキュリティ情報] PowerChute Business Editionにおけるクロスサイトスクリプティングの脆弱性について

このページではJPCERT/CCから公開されたPowerChute Business Edition におけるクロスサイトスクリプティングの脆弱性について記述しています

JPCERT/CCより発表されたPowerChute Business Editionにおけるクロスサイトスクリプティングの脆弱性について記述しています。 

【緊急度】


本脆弱性は、日本国内でリリースのPowerChute Business Editionでは一般にサポートされていない機能に関するもののため、国内のユーザへの影響はほとんどありません。また、PowerChute Business Editionをイントラネット等社内ネットワークで使用している場合の影響はありません。

【対象製品】
PowerChute Business Edition v8.0.1およびそれ以前のバージョン
v9.0.1およびそれ以降のバージョンでは修正されています

【対処方法】
PowerChute Business Edition v8.0.1以前のバージョンでは、以下のいずれかの方法を実施してください。

(1) PowerChute Business Editionをインターネット等の外部ネットワークからの不特定のアクセスが行われないファイアウォールの内側で使用する。

イントラネット等社内ネットワークで使用している場合の影響はありません。

(2) PowerChute Business Edition AgentをインストールしたコンピュータのTCP 3052ポートをオープンしない。もしくは、ファイアウォールでブロックする。

当脆弱性はポートTCP 3052に関するものです。通常のインターネットのWebで使用されるTCP 80とは異なります。
TCP 3052をブロックしてもPowerChute Business Editionの機能には影響ありません。

これは役に立ちましたか?
私たちは情報を改善するために何ができるのでしょうか?