ActiveReportsのActiveXビューワの脆弱性について
概要
ActiveReportsのActiveXビューワ(arview2.ocx)にセキュリティの脆弱性が見つかりました。悪意のあるサイトがこの脆弱性を利用することで、システム上の任意のファイルを更新したり、システム上で任意のコードを実行できる可能性があります。該当する製品及び環境は次の通りです。
| 製品名 | 本脆弱性の影響を受ける環境 | ||
|---|---|---|---|
| 製品をインストールした開発環境 | Windows/Visual Basicアプリケーションの配布先 | Webアプケーションの展開先 | |
| ActiveReports for .NET 6.0J | 該当しません | 該当しません | 該当しません |
| ActiveReports for .NET 3.0J | 該当しません(*1) | 該当しません | 該当します(*2) |
| ActiveReports for .NET 2.0J(*3) | 該当しません(*1) | 該当しません | 該当します(*2) |
| ActiveReports for .NET 1.0J(*3) | 該当しません(*1) | 該当しません | 該当します(*2) |
| ActiveReports 2.0J | 該当します | 該当します(*2) | 該当します(*2) |
(*1) 製品をインストールしただけでは影響を受けませんが、デバッグ時などのタイミングでActiveXビューワを一度でも実行すると影響を受けます。
(*2) ただしActiveReportsのActiveXビューワを使用していない場合、この脆弱性の問題は発生しません。
(*3) 弊社サポートサービス期間(ActiveReports for .NET 1.0: 2006年11月まで、ActiveReports for .NET 2.0: 2008年11月まで)は終了しておりますが、サポートサービス対象製品と同―のActiveXビューワを使用しており、本脆弱性の影響があるため、この表に掲載しております。
詳細
この脆弱性を利用した攻撃(システム上の任意のファイルの更新、システム上で任意のコードを実行)が成功するには以下のすべての条件を満たすことが必要です。
- ActiveReportsのActiveXビューワコントロールがコンピューターにインストール(レジストリ登録)されている
- ActiveReports Viewer2(2.4.2.1306より前のバージョン)
・ファイル名:arview2.ocx(ActiveReports for .NET 3.0J, 2.0J, 1.0J. ActiveReports 2.0Jで提供)
- ActiveReports Viewer2(2.4.2.1306より前のバージョン)
- 攻撃者がこのコントロールを対象とした悪意のあるWebページを作成する
- 攻撃者が悪意のあるWebページにユーザーを誘導することに成功する
上記の全ての条件を満たした場合、悪意のあるサイトは、アクセスしたユーザーの権限で次のような攻撃が可能になります。
- ユーザーのシステム上の任意のファイルを不正なファイルで更新する
- 任意のコードを記載したファイルをスタートアップフォルダなど実行される可能性がある場所に配置して、任意のコードを実行する
対応手順
Step1:開発環境の更新
次の表の対処方法に従って、開発環境で使用しているActiveXビューワを更新してください
| 該当する製品 | 対処方法 |
|---|---|
| ActiveReports for .NET 3.0J | ActiveReports for .NET 3.0J SP5を適用し、お客様の開発環境にあるActiveXビューワのCabファイル(arview2.cabファイル)を、本脆弱性に対処したarview2.cabファイル(*1)に置き換えてください。(arview2.cabファイルは、<インストールフォルダ>¥Deploymentフォルダにあります。) または、本脆弱性に対処したarview2.cabファイル(*1)のみをダウンロードし、置き換えることもできます。arview2.cabファイルは、こちらよりダウンロードできます。(*2) |
| ActiveReports for .NET 2.0J | お客様の開発環境にあるActiveXビューワCabファイル(arview2.cabファイル)を、本脆弱性に対処したarview2.cabファイル(*1)に置き換えてください。arview2.cabファイルは、こちらよりダウンロードできます。(*2) |
| ActiveReports for .NET 1.0J | |
| ActiveReports 2.0J | ActiveReports 2.0J SP2を適用してください。 |
(*1) 対策版のCabファイル: タイムスタンプ:2010-07-10、ファイルサイズ:464,128(バイト)
(*2) 対策版のCabファイルを置き換えたのみでは、 開発環境自体の脆弱性の問題は解決されません。必ず後述するStep2, Step3を実行してください。なお、ActiveReports for .NET 3.0J SP5をインストールした場合、 ActiveXビューワのSampleプロジェクトを実行することでも開発環境の脆弱性に対処できます。
Step2:アプリケーションの更新
WebアプリケーションでActiveXビューワをご利用の場合:
- Webアプリケーション配置先の、ActiveXビューワのCabファイル(arview2.cab)を、対策版のCabファイルに置き換えます。
- ActiveXビューワを設定しているHTMLファイル内のActiveXビューワのバージョン(codebase属性のversion)を次の太字部分のように変更します。
WebViewerコントロールでActiveXビューワを指定している場合:<ACTIVEREPORTSWEB:WEBVIEWER id= "arv" codeBase="arview2.cab# version=2,4,2,1306"(以下略)
ObjectタグでActiveビューワを指定している場合:<OBJECT id= "arv" codeBase="arview2.cab# version=2,4,2,1306"(以下略)
Visual BasicアプリケーションでActiveXビューワをご利用の場合:
ActiveReports 2.0J SP2にて、アプリケーションをビルドし直します。
Step3:アプリケーション配布先の対処
Webアプリケーションの場合:
Step2で対策を実行したWebサイトにアクセスし、対策版のActiveXビューワに更新します。
Visual Basicアプリケーションの場合:
Step2で対策を実行したアプリケーションをインストールします。
注意事項
本対策を適用後に発生したその他の問題については、弊社サポートポリシーに従って対応いたします。
その他
ActiveXビューワの使用状況、使用バージョンが分からない場合
次よりActiveXビューワインストールチェッカーをダウンロードし、実行することでActiveXビューワのインストール有無とActiveXビューワのバージョンを確認できます。
使用方法については、ActiveXビューワ インストールチェッカーのReadMeを参照ください。