ScreenOSのXSS(クロスサイトスクリプティング)に関する脆弱性についてのお知らせ

2008年10月8日

お客様各位
さくらインターネット株式会社
 平素はさくらインターネットをご利用いただき、誠にありがとうございます
 弊社専用サーバサービス、専用サーバ Platform サービスにて提供いたして
おります、Juniper Networks 社製ファイアウォール製品の一部にクロスサイト
スクリプティングの脆弱性があることが発表されました。
 弊社提供サービスにおける該当状況と対策を以下のとおりご案内申し上げます。
                < 記 >
1.本不具合の概要
  本不具合の対象となる製品と、特定バージョンの ScreenOS ソフトウェアの
  組みあわせにおいて、不正なマネジメントアクセスを行った際に記録される
  Login Failure のイベントログを WebUI 上で表示させた場合、ScreenOS が
  不正な文字列を「リモートサイトからスクリプトを実行する」という命令に
  書き換えてしまうことにより発生します。
2.本不具合の対象となる製品
  弊社提供サービスにおける下記の製品が該当いたします。
  ・専用サーバオプション ファイアウォールサービス
   Juniper Networks NetScreen-5GT
  ・専用サーバ Platform ネットワーク機器レンタル ファイアウォール
   Juniper Networks NetScreen-25
   Juniper Networks SSG 140
3.本不具合の対象となる ScreenOS ソフトウェア
  ScreenOS ソフトウェアの下記のバージョンが該当いたします。
  ・ScreenOS 5.3 以前のすべてのリビジョン
  ・ScreenOS 5.3 のすべてのリビジョン
  ・ScreenOS 5.4r1 – 5.4r9
  ・ScreenOS 6.0r1 – 6.0r5
  ・ScreenOS 6.1r1
4.対処方法
  本不具合は、ScreenOS ソフトウェアを、不具合の修正された下記の
  バージョンへとアップデートすることで解消いたします。
  ・ScreenOS 5.4r10 以降
  ・ScreenOS 6.0r6 以降
  ・ScreenOS 6.1r2 以降
  弊社では現在、お客様にて上記のバージョンのソフトウェアを入手
  できますよう、アップデート環境の提供準備を進めております。
  サービスをご利用のお客様へは、提供準備が整い次第、メールにて
  ご案内を差し上げます。
  
  ご迷惑をおかけいたしまして大変申し訳ございませんが、もうしばらく
  お待ちください。
  なお、本不具合に関しましては、ワークアラウンドとして下記の
  設定を投入していただくことで、回避可能であることを付記させて
  いただきます。
  ・WebUIを無効にする
   1) 対象のファイアウォール機器に telnet または ssh でログインする
   2) CLI 上から以下のコマンドを実行し、WebUI を無効にする
     
     unset zone V1-Untrust manage web
     
  ・信頼できる端末からのみ管理アクセスを可能とする
   1) 対象のファイアウォール機器に telnet または ssh でログインする
   2) CLI 上から以下のコマンドを実行し、管理アクセスへのアクセス制限
     を有効にする
     
 set admin manager-ip xxx.xxx.xxx.xxx 255.xxx.xxx.xxx
                (IPアドレス) (ネットマスク)
5.本件に関するお問い合わせ
  
  ・メールアドレス:support@sakura.ad.jp
─── さくらインターネット株式会社 ──────────────────
■法人担当サポートデスク (専用サーバ、専用サーバPlatform)
TEL : 0120-977808 (通話料無料) 平日 10:00 – 18:00
■カスタマーセンター (ご利用サービスについてのお問い合わせ窓口)
URL : http://support.sakura.ad.jp/
TEL : 0120-775664 (通話料無料) 平日 10:00 – 18:00
────────────────────────────────────