複数のサイボウズ製品に情報漏えいなどの恐れ
IPA、JPCERT/CCによると、「Office 6」「ガルーン」など複数のサイボウズのグループウェア製品に情報漏えいを起こすセキュリティ脆弱性があるという。
IPA(情報処理推進機構セキュリティセンター)およびJPCERT/CC(JPCERTコーディネーションセンター)は8月28日、「サイボウズ Office」などサイボウズの複数のコラボレーションソフトにセキュリティ脆弱性が存在することを明らかにした。特定のファイルが閲覧されたり、ユーザー情報が第三者に漏えいしてしまう恐れがあり、ユーザーは早急にパッチを適用、あるいは最新のバージョンにアップグレードするなどの対策をとる必要がある。
公開された情報は、「複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性」と「サイボウズ Office 6における情報漏えいの脆弱性」の、2種類のセキュリティホールに関するもの。
ディレクトリトラバーサルの問題は、細工を施された値を入力されると、サーバ内の特定の非公開ファイルを表示してしまうセキュリティホール。次の製品がこの問題の影響を受ける。
| 製品名、バージョン |
|---|
| サイボウズ Office 6.5(1.2)および以前のバージョン |
| サイボウズ ガルーン 1.5(4.0)および以前のバージョン |
| サイボウズ ガルーン ワークフロー |
| サイボウズ メールワイズ 3.0(0.2)および以前のバージョン |
| サイボウズ コラボレックス 1.5(0.5)および以前のバージョン |
| サイボウズAG 1.2(1.4)および以前のバージョン |
| サイボウズAG ポケット 5.2(0.7)および以前のバージョン |
| Share360 2.5(0.2)および以前のバージョン |
もう1つのOffice 6のセキュリティホールは、細工を施された値を入力されると、Office 6のシステム登録ユーザー/グループについての情報がログインアカウントを持たない第三者に閲覧されてしまうというもの。この影響を受けるのは、サイボウズ Office 6.5(1.2)および以前のバージョン。
なおサイボウズによると、ガルーン 2およびワークフロー for ガルーン 2にSQLインジェクションのセキュリティホールが発見されており、この脆弱性を突かれると、第三者にデータベース内のデータが操作されたり、My SQLサーバがDoS(サービス妨害)攻撃を受ける恐れがあるという。
以上の問題を回避するには、サイボウズが提供するパッチを適用したり、アップグレードを行うこと。
関連記事
- 日本語全文検索システム「Namazu」、脆弱性修正でバージョンアップ
Namazu Projectは3月12日、ディレクトリトラバーサルの脆弱性を修正した日本語全文検索システム「Namazu」の新バージョン、「Namazu 2.0.16」をリリースした。 - Webmin 1.270以前に脆弱性、ファイルを盗み見られる恐れ
WebブラウザからUNIX/Linuxのシステム管理を行うオープンソースの管理ツール、Webmin 1.270以前に脆弱性が発見された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。