概要
セキュリティスキャンツールがiLO5の関連URLを使用するCSSスタイルシートの脆弱性の誤検知をすることがあります。この脆弱性の報告は誤検知であり対処は不要です。
現象および影響範囲
一部のセキュリティスキャンツールでは、iLOが関連URLで参照されるCSSスタイルシートを使うことによるセキュリティ上の脆弱性が警告されることがあります。これは"Path-relative Style Sheet Import Vulnerability"とも呼ばれます。この脆弱性の報告は誤検知であり、 iLOはそのような攻撃の影響を受けません。
"Path-relative Style Sheet Import Vulnerability"の詳細は下記のURLを参照してください。
- https://portswigger.net/knowledgebase/issues/details/00200328_pathrelativestylesheetimport
- http://blog.portswigger.net/2015/02/prssi.html
NOTE: 上記のリンクのいずれかをクリックすると、Hitachi, Ltd.以外のWebサイトが表示されます。Hitachiは、Hitachi外部のWebサイトの情報を管理しておらず、また、それらに関する責任も負いません。
回避策
回避策はありません。
対策方法
この脆弱性の報告は誤検知であり、iLOはそのような攻撃から保護されているため対処は不要です。iLOは関連スタイルシートを使用しますが、それはこの脆弱性の発生に必要な要件の1つに過ぎません。この脆弱性の主な要件は、Webサーバーが無効な”extra stuff”を付加されたURL(例えばhttp://myValidUrl/html/login.htm/Fakepart)を有効なURLとして応答することです。
iLOのWebサーバーは、このようなリクエストを受け付けず正しく404エラーを応答するためこの脆弱性は効果的にブロックされます。
対象製品
| 対象装置 |
HA8000V/DL360 Gen10 for Nutanix HA8000V/DL380 Gen10 for Nutanix |
|---|
発生条件
特定の条件はありません。
対象バージョン
バージョン依存はありません。
対象OS
OS依存はありません。
更新情報
2019年6月21日(更新)
2019年3月29日(更新)
2018年10月5日(更新)
2018年5月22日(公開)
本ページで記載している内容を予告なく変更することがありますので、あらかじめご了承ください。
文書番号
ADV-2018-0015b