概要
セキュリティスキャンツールがiLO5の関連URLを使用するCSSスタイルシートの脆弱性の誤検知をすることがあります。この脆弱性の報告は誤検知であり対処は不要です。
発生頻度
低
現象および影響範囲
一部のセキュリティスキャンツールでは、iLOが関連URLで参照されるCSSスタイルシートを使うことによるセキュリティ上の脆弱性が警告されることがあります。これは"Path-relative Style Sheet Import Vulnerability"とも呼ばれます。この脆弱性の報告は誤検知であり、 iLOはそのような攻撃の影響を受けません。
"Path-relative Style Sheet Import Vulnerability"の詳細は下記のURLを参照してください。
- https://portswigger.net/knowledgebase/issues/details/00200328_pathrelativestylesheetimport
- http://blog.portswigger.net/2015/02/prssi.html
NOTE: 上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
回避策
回避策はありません。
対策方法
この脆弱性の報告は誤検知であり、iLOはそのような攻撃から保護されているため対処は不要です。iLOは関連スタイルシートを使用しますが、それはこの脆弱性の発生に必要な要件の1つに過ぎません。この脆弱性の主な要件は、Webサーバーが無効な”extra stuff”を付加されたURL(例えばhttp://myValidUrl/html/login.htm/Fakepart)を有効なURLとして応答することです。
iLOのWebサーバーは、このようなリクエストを受け付けず正しく404エラーを応答するためこの脆弱性は効果的にブロックされます。
対象製品
| 対象装置 |
HA8000V/DL20 Gen10 HA8000V/DL360 Gen10 HA8000V/DL380 Gen10 HA8000V/DL580 Gen10 HA8000V/ML30 Gen10 HA8000V/ML350 Gen10 HA8000V/DL20 Gen10 Plus HA8000V/DL360 Gen10 Plus HA8000V/DL380 Gen10 Plus HA8000V/ML30 Gen10 Plus |
|---|
発生条件
特定の条件はありません。
対象バージョン
バージョン依存はありません。
対象OS
OS依存はありません。
更新情報
2022年07月29日(更新):対象製品にDL20 Gen10, ML30 Gen10, DL20 Gen10 Plus, DL360 Gen10 Plus, DL380 Gen10 Plus, ML30 Gen10 Plusを追加しました。
2019年03月29日(更新)
2018年10月05日(更新)
2018年05月22日(公開)
本ページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。
文書番号
ADV-2018-0015