IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)は8月28日,サイボウズの複数のグループウエア製品にセキュリティ・ホールが見つかったことを明らかにした。公開を意図していないファイルを閲覧されたり,ユーザー情報などを漏洩したりする恐れがある。対策は,サイボウズが公開するパッチ(改修プログラ)の適用や修正版へのアップグレード。
IPAとJPCERT/CCが公表したサイボウズ製品のセキュリティ・ホールは2種類。(1)「複数のサイボウズ製品におけるディレクトリ・トラバーサルの脆弱性」と(2)「サイボウズ Office 6」における情報漏洩の脆弱性」。
(1)は,細工が施されたリクエストを送信されると,公開を意図していないファイル(公開用フォルダに置いていないファイル)を表示してしまうセキュリティ・ホール(IPAの情報)。以下の製品が影響を受ける。
- サイボウズ Office 6.5(1.2) およびそれ以前
- サイボウズ ガルーン 1.5(4.0) およびそれ以前
- サイボウズ メールワイズ 3.0(0.2) およびそれ以前
- サイボウズ コラボレックス 1.5(0.5) およびそれ以前
- サイボウズ AG 1.2(1.4) およびそれ以前
- サイボウズ AG ポケット 5.2(0.7) およびそれ以前
- Share360 2.5(0.2) およびそれ以前
(2)は,Office 6に関するセキュリティ・ホール(IPAの情報)。細工が施されたリクエストを送信されると,ログイン・アカウントを持たないユーザーに対して,Office 6に登録されているユーザー/グループ情報を公開する恐れがある。影響を受けるのは,サイボウズ Office 6.5(1.2) およびそれ以前。
対策は,パッチの適用や修正版へのアップグレード。(1)については,同社が公開するパッチを適用する。(2)については,セキュリティ・ホールを修正したOffice 6をインストールする。
サイボウズによれば,同社の「ガルーン 2」および「ワークフロー for ガルーン 2」にはSQLインジェクションのセキュリティ・ホールも見つかっているという(サイボウズの情報)。悪用されると,データベースに保存されている情報を操作される恐れがある。対策はパッチを適用すること。
・JVNの情報(1)
・JVNの情報(2)
・IPAの情報(1)
・IPAの情報(2)
・サイボウズの情報
