サイボウズの複数製品にXSSなど4件の脆弱性

サイボウズのグループウェアなどに、クロスサイトスクリプティング（XSS）、HTTPヘッダインジェクションなど4件の脆弱性が発見された。

[ITmedia]

　情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は12月11日、サイボウズのグループウェア「サイボウズ Office」などにクロスサイトスクリプティングなど4件の脆弱性が発見されたとして、JVN(Japan Vulnerability Notes)に情報を公開した。

　発見された脆弱性は、クロスサイトスクリプティング（XSS）に関する2件とHTTPヘッダインジェクション1件、DoS（サービス妨害）1件の計4件。対象製品は「サイボウズ Office」「サイボウズ ガルーン」などで、製品によっては複数の脆弱性が見つかっている。CVSSによる脆弱性の深刻度は4.3で、いずれも警告レベル。

脆弱性	対象製品	対策
クロスサイトスクリプティング	Office 6.6（1.3）およびそれ以前、ガルーン 1.5（4.1）、ガルーン ワークフロー 1.0（1.1）およびそれ以前、ガルーン ファイル管理サーバー 1.0（0.7）およびそれ以前、ガルーン 掲示板サーバー 1.0（0.7）およびそれ以前、ガルーン 施設予約サーバー 1.0（0.7）およびそれ以前、ドットセールス 1.0 およびそれ以前	最新版へアップデート
クロスサイトスクリプティング（上記とは異なる）
HTTPヘッダインジェクション	Office 6.6（1.3）およびそれ以前、ガルーン 1.5（4.1）、ガルーン ワークフロー 1.0（1.1）およびそれ以前、ガルーン ファイル管理サーバー 1.0（0.7）およびそれ以前、ガルーン 掲示板サーバー 1.0（0.7）およびそれ以前、ガルーン 施設予約サーバー 1.0（0.7）およびそれ以前
DoS	Office 6.6（1.3）およびそれ以前

　想定される問題は次のとおり。XSSについては、不正なWebページを閲覧時に任意のコードを埋め込まれ、ユーザーのブラウザ上で意図しないスクリプトを実行される恐れがある。HTTPヘッダインジェクションについては、第三者によってリモートからサーバのキャッシュを上書きされたり、不正なCookieやスクリプトを発行あるいは実行されたりする恐れがある。またサイボウズ Officeでは、細工されたHTTPリクエストをサーバが適切に処理できず、DoS攻撃を受ける可能性がある。

　サイボウズは各ソフトウェアの問題を修正した最新版をリリース済み。

　いずれの脆弱性も2006年11月20日と同12月15日にIPAが届出を受けたもので、JPCERT/CCがサイボウズと調整を行い、同日公表した。