CA20131024-01 : CA SiteMinder セキュリティに関するお知らせ

Document created by shunsuke_katakura Employee on Jul 30, 2015
Version 1Show Document
  • View in full screen mode

公開日:2013年10月24日
日本での公開日:2013年10月29日

CA20131024-01 : CA SiteMinder セキュリティに関するお知らせ

 

 

CA サポートは、既存のCA SiteMinder 製品の機能により危険性を緩和できる、潜在的なリスクがあることをお知らせいたします。CVE-2013-5968 でお知らせした脆弱性により、リモート攻撃者がクロスサイトスクリプティング攻撃を実施し、SiteMinderドメインのセキュリティコンテキスト内で スクリプトを実行させる可能性があります。
SiteMinderの設置環境をご確認頂き、脆弱性緩和の機能を有効とするようお願い致します。


リスクの程度


プラットフォーム

全てのプラットフォーム


影響を受ける製品

CA SiteMinder 12.51
CA SiteMinder 12.5
CA SiteMinder 12.0
CA SiteMinder 6(日本語版)


この脆弱性の影響を受けるかどうかの判断方法

クロスサイト・スクリプティングのチェック設定が有効になっていることと、BadCSSChars の設定が二重引用符(“) の16進数値である “%22” を含んでいることを確認して下さい。詳細は解決策セクションをお読みください。


解決策

CAサポートはこの脆弱性に対する保護のための設定方法を記載した製品文書によるサポートを提供しています。

以下の手順は、CA SiteMinder Web Agent Configuration Guide 12.5 からの引用となります。詳細は65ページの"Protect Web Sites Against Cross-Site Scripting" と"Configure the Web Agent to Check For Cross Site-Scripting" セクションをご覧ください。(日本語でご覧になる場合は、CA SiteMinder Web エージェント設定ガイド 12.51 84ページの” Web エージェント設定ガイド クロスサイト スクリプティングからの Web サイトの保護”をご覧ください。)

  1. 二重引用符(“) 文字と同等の16進数値である “%22” をBadCSSCharsパラメータへ入力します。

    例:
    BadCSSChars="<,>,%22"

    注:

    BadCSSCharsパラメータの設定を行うと、デフォルトのクロスサイト スクリプティング文字セットは上書きされます。SiteMinder 管理者の方々は各設定環境において全てのクロスサイト スクリプティング文字がブロックされる設定となるように十分注意してください。

  2. クロスサイト スクリプティングのチェック機能を有効化とするため、CSSChecking パラメータをYesと設定します。

    例:
    CSSChecking="YES"

リファレンス

CVE-2013-5968 - SiteMinder CSS


謝辞

CVE-2013-5968 - Zachary Pritchard, Cigital

 

変更履歴

バージョン 1.0:初回リリース

さらに詳しい情報が必要な場合は、CA Technologies サポート(https://support.ca.com)までご連絡ください。

弊社製品に脆弱性が見つかった場合は、弊社の担当者までご連絡ください。

Attachments

    Outcomes