R9.1.4への移行

ポートレットの脆弱性への対応

次のポートレットの「スクリプト (JavaScriptコード)」にクロスサイトスクリプティンブ脆弱性が見つかったため、その対応を行っています。

• お知らせポートレット
• ワークフローポートレット
• ログオンユーザ一覧ポートレット

旧バージョンからR9.1.4へ移行後、システム管理者で「管理処理>インポートとエクスポート」画面を開き、インポートフォルダ "data_init" を選択して "ポートレット" (5件) をインポートしてください。脆弱性対応後のコードに置換されます。

独自のポートレットを追加している場合

3つのポートレットを最新に入れ替えます。次の手順を行なってください。

1. 最新の状態から、ポートレットだけを選択してエクスポートします。このとき「Zip形式で扱う」は解除した状態とします。
2. exportフォルダに data_[日付] というフォルダが出力されていることを確認します。
3. R9.1.4 (以降) のフォルダに含まれている export/data_init/init/jfcportlet 以下の次のファイルが、脆弱性対応済みとなっています。
   • item_2.xml (ログオンユーザ一覧ポートレット)
   • item_3.xml (お知らせポートレット)
   • item_4.xml (ワークフローポートレット)
   この3つのファイルを、先にエクスポートした export/data_[日付]/init/jfcportlet フォルダに上書きします。
4. 再度、インポートエクスポート画面から、export/data_[日付]フォルダを指定し、ポートレットをインポートします。

カスタマイズしている場合

開発者がすでにこれらのポートレット(のJavaScript)をカスタマイズしている場合は、R9.1.4に同梱されているファイルを参考に手動で修正してください。

旧版を使い続ける場合

R9.0.0〜R9.1.3に含まれるポートレットを使い続けることはできます。脆弱性があるため、ポートレットとして表示されるデータにJavaScriptコードを埋め込まないようにしてください。