※1.17以前のバージョンに脆弱性が確認されました。ご利用の方は必ずダウンロードページより 1.18以降にアップグレードして頂きますようお願い致します。

バージョン1.17以前の脆弱性について

■概要

1.17以前のバージョンには、「クロスサイトスクリプティング」と「認証不備」の脆弱性が存在します。本脆弱性についてバージョン1.18にて対応を行いました。

■想定される影響

・細工されたページにアクセスしたユーザのブラウザ上で、任意のスクリプトを実行される可能性があります。
・本システムでアクセス解析を行っているサイトに対して細工された URL によるアクセスが行われることで解析結果にスクリプトが混入し、アクセス解析結果を閲覧しているユーザのブラウザ上で任意のスクリプトを実行される可能性があります。
・ログインしていない第三者によって、本システムの機能が実行される可能性があります。

■対処方法

ダウンロードリンクより、最新バージョンをダウンロードしてシステムをアップグレードしてください。
アップグレード方法は、ダウンロードファイルに同梱のインストールマニュアルをご確認ください。

■補足

バージョン1.18は本脆弱性への対応のみで、別途機能追加等は行っていません。
またバージョン1.18へのアップグレードに伴い、本システムを利用可能なPHPとMySQLのバージョンの範囲を明記しました。
具体的には、PHP5.5以上もしくはMySQL5.6以上の環境では本システムの動作をサポートしていませんので、ご注意ください。

■関連情報

JVN#58020495 - Research Artisan Lite における クロスサイトスクリプティングの脆弱性
JVN#10559378 - Research Artisan Lite における認証不備の脆弱性

■謝辞

本脆弱性の発見及び報告を送って頂いた方、IPA様、JPCERT/CC様に厚く御礼申し上げます。

最新バージョンのダウンロード

バージョン リリース日 ファイル
ver.1.18 2015.7.23 ralite_1.18.zip
ver.1.18 2015.7.23 ralite_upgrade_1.18.zip

古いバージョンからのアップデート時は、アップグレード用のファイル(ralite_upgrade_x.xx.zip)をダウンロードしてサーバーに設置してください。

古いバージョンのアップグレードファイル

バージョン リリース日 ファイル
ver.1.17 2011.11.20 ralite_upgrade_1.17.zip
ver.1.16 2011.4.18 ralite_upgrade_1.16.zip
ver.1.15 2010.5.30 ralite_upgrade_1.15.zip
ver.1.14 2010.3.30 ralite_upgrade_1.14.zip
ver.1.13 2010.2.25 ralite_upgrade_1.13.zip
ver.1.12 2010.1.27 ralite_upgrade_1.12.zip
ver.1.11 2010.1.15 ralite_upgrade_1.11.zip
ver.1.10 2009.12.14 ralite_upgrade_1.10.zip

スポンサード リンク

必要なシステム

Research Artisan Lite を動作させるには主に以下の環境を持ったサーバー(各レンタルサーバー、自社・自宅サーバー等)が必要です。

  • Webサーバー(Apacheを推奨)
  • PHP5.1.x 以降、5.4.xまで(PHP4、PHP5.5.x以降では動作を保証しません)
  • MySQL4.0 以降、5.5.xまで(4.1 以降を強く推奨、5.6.x以降では動作を保証しません)

ダウンロードしたら

まずは、ダウンロードした圧縮ファイルを解凍してください。その後、展開したファイルに同梱のインストールマニュアル(_manual/install.html)に詳しい手順が記載されていますので、手順に従ってインストール、またはアップグレードしてください。

インストールの代行

「どうしてもうまくインストールできない」・「インストールが面倒くさい」といった方の為に、Research Artisan Projectでは有償でインストールの代行(あなたの代わりにResearch Artisan Projectメンバーがインストール作業を行います)を承っています。

インストール代行費用:1サイトにつき 10,000円〜

インストールの代行とは、ご利用ユーザー様よりインストールするサーバー情報をお伺いした上で、そのサーバーへのインストール作業のみを行うものであり、以下の内容は含まれませんのでご注意下さい。

  • レンタルサーバーへの申込み等(サーバーはご用意していただく必要があります)
  • サイトへの解析用タグの埋め込み
  • 使い方や質問へのサポート
  • アップグレード作業
  • 独自で修正を加えたリサーチアルチザンライトにて発生した不具合への質問
  • その他、リサーチアルチザンライトのインストールに関わらない事項

インストール作業はリサーチアルチザンライト開発者が行いますので、安心してリサーチアルチザンライトを導入することができます。また、cron(プログラムの自動実行)が利用できるサーバーであれば、解析メールの定期配信の設定までさせていただきます。

詳細は、Research Artisan Projectまでメールにてお問い合わせください。