情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は10月24日,ネオジャパンのグループウエア「desknet's」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたデータを送信されると,desknet'sが稼働するマシン上で悪質なプログラムを実行される恐れがある。バージョン5.0J R1.0以降では修正されている。
Webベースのグループウエア・ソフトであるdesknet'sのバージョン4.5J R2.4およびそれ以前には,ユーザーからのリクエストを処理する部分にバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたリクエストを送信されるとバッファ・オーバーフローが発生し,リクエストに含まれる任意のプログラムを実行される恐れがある。desknet'sのサービスが正常に動作しなくなる可能性もあるという。つまり,サービス妨害(DoS)攻撃を許す恐れがある。
今回のセキュリティ・ホールは,バージョン5.0J R1.0以降では解消されている。このため,バージョン5.0J R1.0以降にアップデートすることが対策となる。アップデートモジュールは,ネオジャパンのWebサイトで公開されている。
・IPAとJPCERT/CCが共同運用するJVNの情報(JVN#07235355)
・ネオジャパンの JVN#07235355 への対応
・IPAの情報
・ネオジャパンの「アップデートモジュールダウンロード」サイト