ニュース
» 2006年08月28日 15時39分 公開

複数のサイボウズ製品に情報漏えいなどの恐れ

IPA、JPCERT/CCによると、「Office 6」「ガルーン」など複数のサイボウズのグループウェア製品に情報漏えいを起こすセキュリティ脆弱性があるという。

[ITmedia]

 IPA(情報処理推進機構セキュリティセンター)およびJPCERT/CC(JPCERTコーディネーションセンター)は8月28日、「サイボウズ Office」などサイボウズの複数のコラボレーションソフトにセキュリティ脆弱性が存在することを明らかにした。特定のファイルが閲覧されたり、ユーザー情報が第三者に漏えいしてしまう恐れがあり、ユーザーは早急にパッチを適用、あるいは最新のバージョンにアップグレードするなどの対策をとる必要がある。

 公開された情報は、「複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性」と「サイボウズ Office 6における情報漏えいの脆弱性」の、2種類のセキュリティホールに関するもの。

IPA資料 ディレクトリトラバーサルで意図しないファイルが表示されてしまう問題(IPAの資料より)

 ディレクトリトラバーサルの問題は、細工を施された値を入力されると、サーバ内の特定の非公開ファイルを表示してしまうセキュリティホール。次の製品がこの問題の影響を受ける。

製品名、バージョン
サイボウズ Office 6.5(1.2)および以前のバージョン
サイボウズ ガルーン 1.5(4.0)および以前のバージョン
サイボウズ ガルーン ワークフロー
サイボウズ メールワイズ 3.0(0.2)および以前のバージョン
サイボウズ コラボレックス 1.5(0.5)および以前のバージョン
サイボウズAG 1.2(1.4)および以前のバージョン
サイボウズAG ポケット 5.2(0.7)および以前のバージョン
Share360 2.5(0.2)および以前のバージョン

 もう1つのOffice 6のセキュリティホールは、細工を施された値を入力されると、Office 6のシステム登録ユーザー/グループについての情報がログインアカウントを持たない第三者に閲覧されてしまうというもの。この影響を受けるのは、サイボウズ Office 6.5(1.2)および以前のバージョン。

 なおサイボウズによると、ガルーン 2およびワークフロー for ガルーン 2にSQLインジェクションのセキュリティホールが発見されており、この脆弱性を突かれると、第三者にデータベース内のデータが操作されたり、My SQLサーバがDoS(サービス妨害)攻撃を受ける恐れがあるという。

 以上の問題を回避するには、サイボウズが提供するパッチを適用したり、アップグレードを行うこと。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -