R9.1.4への移行

ポートレットの脆弱性への対応

次のポートレットの「スクリプト (JavaScriptコード)」にクロスサイトスクリプティンブ脆弱性が見つかったため、その対応を行っています。

• お知らせポートレット
• ワークフローポートレット
• ログオンユーザ一覧ポートレット

旧バージョンからR9.1.4へ移行後、システム管理者で「管理処理>インポートとエクスポート」画面を開き、インポートフォルダ "data_init" を選択して "ポートレット" (5件) をインポートしてください。脆弱性対応後のコードに置換されます。

独自のポートレットを追加している場合

3つのポートレットを最新に入れ替えます。次の手順を行なってください。

1. 最新の状態から、ポートレットだけを選択してエクスポートします。このとき「Zip形式で扱う」は解除した状態とします。
2. exportフォルダに data_[日付] というフォルダが出力されていることを確認します。
3. R9.1.4 (以降) のフォルダに含まれている export/data_init/init/jfcportlet 以下の次のファイルが、脆弱性対応済みとなっています。
   • item_2.xml (ログオンユーザ一覧ポートレット)
   • item_3.xml (お知らせポートレット)
   • item_4.xml (ワークフローポートレット)
   この3つのファイルを、先にエクスポートした export/data_[日付]/init/jfcportlet フォルダに上書きします。
4. 再度、インポートエクスポート画面から、export/data_[日付]フォルダを指定し、ポートレットをインポートします。

カスタマイズしている場合

開発者がすでにこれらのポートレット(のJavaScript)をカスタマイズしている場合は、R9.1.4に同梱されているファイルを参考に手動で修正してください。

旧版を使い続ける場合

R9.0.0〜R9.1.3に含まれるポートレットを使い続けることはできます。脆弱性があるため、ポートレットとして表示されるデータにJavaScriptコードを埋め込まないようにしてください。

一覧表示画面での一括処理

内部変数 selectMode がもつ値が "__SELECT" から "SELECT" に変更されました。同じく "__UNSELECT" が "UNSELECT" に変更されました。
これによって一覧表示画面での一括処理 > 全データを一括処理の対象とする場合のスクリプトの書き方が変わります。