Microsoft Dynamics NAV 2013 R2 Web クライアントのクロスサイト スクリプトの脆弱性

適用対象: Dynamics NAV 2013 R2

概要


Microsoft Dynamics NAV 2013 R2 が、影響を受ける Dynamics NAV Web クライアント上で特別に細工された Web 要求を正しくサニタイズしない場合に、クロスサイト スクリプトの脆弱性が存在します。 認証された攻撃者は、影響を受ける Dynamics NAV Web クライアントに対して特別に細工された要求を送信することによって、この脆弱性を悪用する可能性があります。 詳細については、CVE-2018-8651 を参照してください。

展開方法に関する情報


この更新プログラムは、「latest Cumulative Update of Dynamics NAV 2013 R2 (CU 51, build 49751)」(英語情報) を参照してください。 そのため、その更新プログラムを展開してから、この更新プログラムを展開する必要があります。 

この更新プログラム パッケージには Dynamics NAV Web クライアントが含まれています。このクライアントは、提供されているファイルを Dynamics NAV Web Site フォルダーにコピーして展開する必要があります。

更新プログラム パッケージのダウンロード方法


Microsoft ダウンロード センターから更新プログラム パッケージを取得できます。

更新プログラム パッケージの展開方法


  1. 更新プログラム パッケージをダウンロードします。 これには "WEB CLIENT" というフォルダーが含まれています。
  2. Dynamics NAV Web クライアントをインストールしたフォルダーを探します (通常は、C:\inetpub\wwwroot\<インスタンス名>\WebClient フォルダー内にあります)。
    1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。
    2. [サイト]、[既定の Web サイト]、[Microsoft Dynamics NAV 2013 R2 Web クライアント]、[DynamicsNAV71] の順に選択します。
    3. DynamicsNAV71 フォルダー サイトを右クリックし、[参照] を選択します。
    4. WebClient フォルダーを開きます。
  3. Web クライアントを実行している インターネット インフォメーション サービスを停止します。
  4. 手順 1 でダウンロードした WEB CLIENT フォルダーのコンテキストをコピーし、手順 2 の手順 d で開いた WebClient フォルダーに貼り付けます。 
  5. インターネット インフォメーション サーバーを再び起動します。

    更新プログラム パッケージが展開されます。

詳細情報


Dynamics NAV Web クライアントを起動すると、サーバーとクライアントが同じバージョンではないという警告が表示されます。  新しいバージョンの Dynamics NAV Web クライアントなので、この警告は想定されています。 この警告が Web クライアント ユーザーに表示されないようにするには、サーバー構成ファイルで警告を無効にします。  これを行うには、次の手順を実行します。

  1. Microsoft Dynamics NAV 2013 R2 Administration (管理コンソール スナップイン) を開きます。
  2. コンソール ルートから、Microsoft Dynamics NAV > DynamicsNAV71 <サーバー インスタンス名> を探して展開します。
  3. [一般] クイック タブの最初の設定は "ビルド制限" と呼ばれ、その既定の設定は WarnClient です。 これを AlwaysConnect に設定します。
  4. [編集] ボタンを選択し、値を変更します。
  5. [保存] ボタンを選択し、"The new settings value will not take effect until you stop and restart the service" (新しい設定値はサービスを停止して再起動するまで有効になりません) というメッセージが表示されたら [OK] をクリックします。 
  6. 次の手順でサーバーを再起動します。
    1. 管理コンソールの右側で [コンソール ルート] > [Microsoft Dynamics NAV] の順に選択します。
    2. コンソールの中央の領域にあるサービス (DynamicsNAV71) を選択します。
    3. コンソールの右側を選択すると、サーバーを再起動するためのオプションが表示されます。 [OK] を選択します。サーバーが再起動します。