ディレクトリ・トラバーサルのセキュリティ・ホールの概要（IPAの情報から引用）

[画像のクリックで拡大表示]

　IPA（情報処理推進機構）とJPCERT/CC（JPCERTコーディネーションセンター）は8月28日，サイボウズの複数のグループウエア製品にセキュリティ・ホールが見つかったことを明らかにした。公開を意図していないファイルを閲覧されたり，ユーザー情報などを漏洩したりする恐れがある。対策は，サイボウズが公開するパッチ（改修プログラ）の適用や修正版へのアップグレード。

　IPAとJPCERT/CCが公表したサイボウズ製品のセキュリティ・ホールは2種類。（1）「複数のサイボウズ製品におけるディレクトリ・トラバーサルの脆弱性」と（2）「サイボウズ Office 6」における情報漏洩の脆弱性」。

　（1）は，細工が施されたリクエストを送信されると，公開を意図していないファイル（公開用フォルダに置いていないファイル）を表示してしまうセキュリティ・ホール（IPAの情報）。以下の製品が影響を受ける。

• サイボウズ Office 6.5(1.2) およびそれ以前
• サイボウズ ガルーン 1.5(4.0) およびそれ以前
• サイボウズ メールワイズ 3.0(0.2) およびそれ以前
• サイボウズ コラボレックス 1.5(0.5) およびそれ以前
• サイボウズ AG 1.2(1.4) およびそれ以前
• サイボウズ AG ポケット 5.2(0.7) およびそれ以前
• Share360 2.5(0.2) およびそれ以前

　（2）は，Office 6に関するセキュリティ・ホール（IPAの情報）。細工が施されたリクエストを送信されると，ログイン・アカウントを持たないユーザーに対して，Office 6に登録されているユーザー／グループ情報を公開する恐れがある。影響を受けるのは，サイボウズ Office 6.5(1.2) およびそれ以前。

　対策は，パッチの適用や修正版へのアップグレード。（1）については，同社が公開するパッチを適用する。（2）については，セキュリティ・ホールを修正したOffice 6をインストールする。

　サイボウズによれば，同社の「ガルーン 2」および「ワークフロー for ガルーン 2」にはSQLインジェクションのセキュリティ・ホールも見つかっているという（サイボウズの情報）。悪用されると，データベースに保存されている情報を操作される恐れがある。対策はパッチを適用すること。

・JVNの情報（1）
・JVNの情報（2）
・IPAの情報（1）
・IPAの情報（2）
・サイボウズの情報