「i-FILTER」に複数の脆弱性。導入企業は最新版に更新を（JVN#32155106）

LAC Advisory No.128

セキュリティ診断部の山崎です。

デジタルアーツ社が提供する Webセキュリティソフトウェア「i-FILTER」は、有害サイトへのアクセスを遮断するソフトウェアです。

私は、2018年6月に、「i-FILTER」に複数の脆弱性が存在することを発見し、独立行政法人情報処理推進機構（IPA）に届け出を行いました。

攻撃者に悪用された場合に、i-FILTERが導入されている企業の社員が被害を受ける恐れのある脆弱性です。

この度、デジタルアーツ社によるソフトウェアの修正が完了し、脆弱性対策情報ポータルサイト「JVN」にて公表されましたので、「i-FILTER」導入企業の情報システム管理者その他の利用者の皆様におかれては、最新版へのアップデートをお勧めします。

影響を受けるシステム

i-FILTER Ver.9.50R05 およびそれ以前

デジタルアーツ株式会社が提供する i-FILTER には、次の複数の脆弱性が存在します。

クロスサイトスクリプティング (CWE-79) - CVE-2018-16180
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N基本値: 6.1
CVSS v2 AV:N/AC:M/Au:N/C:N/I:P/A:N 基本値: 4.3
HTTP ヘッダインジェクション (CWE-113) - CVE-2018-16181
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N基本値: 6.1
CVSS v2 AV:N/AC:M/Au:N/C:N/I:P/A:N 基本値: 4.3

i-FILTER には、エラーメッセージを表示するための仮想ホスト（https://inetnf.msg/ 等）が存在しますが、そのエラーメッセージ中に任意の文字列を含ませることが可能でした。このため、攻撃者による悪意あるスクリプトを実行されてしまう恐れがありました。