サイボウズのグループウェアなどに、クロスサイトスクリプティング(XSS)、HTTPヘッダインジェクションなど4件の脆弱性が発見された。
情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は12月11日、サイボウズのグループウェア「サイボウズ Office」などにクロスサイトスクリプティングなど4件の脆弱性が発見されたとして、JVN(Japan Vulnerability Notes)に情報を公開した。
発見された脆弱性は、クロスサイトスクリプティング(XSS)に関する2件とHTTPヘッダインジェクション1件、DoS(サービス妨害)1件の計4件。対象製品は「サイボウズ Office」「サイボウズ ガルーン」などで、製品によっては複数の脆弱性が見つかっている。CVSSによる脆弱性の深刻度は4.3で、いずれも警告レベル。
脆弱性 | 対象製品 | 対策 |
---|---|---|
クロスサイトスクリプティング | Office 6.6(1.3)およびそれ以前、ガルーン 1.5(4.1)、ガルーン ワークフロー 1.0(1.1)およびそれ以前、ガルーン ファイル管理サーバー 1.0(0.7)およびそれ以前、ガルーン 掲示板サーバー 1.0(0.7)およびそれ以前、ガルーン 施設予約サーバー 1.0(0.7)およびそれ以前、ドットセールス 1.0 およびそれ以前 | 最新版へアップデート |
クロスサイトスクリプティング(上記とは異なる) | ||
HTTPヘッダインジェクション | Office 6.6(1.3)およびそれ以前、ガルーン 1.5(4.1)、ガルーン ワークフロー 1.0(1.1)およびそれ以前、ガルーン ファイル管理サーバー 1.0(0.7)およびそれ以前、ガルーン 掲示板サーバー 1.0(0.7)およびそれ以前、ガルーン 施設予約サーバー 1.0(0.7)およびそれ以前 | |
DoS | Office 6.6(1.3)およびそれ以前 | |
想定される問題は次のとおり。XSSについては、不正なWebページを閲覧時に任意のコードを埋め込まれ、ユーザーのブラウザ上で意図しないスクリプトを実行される恐れがある。HTTPヘッダインジェクションについては、第三者によってリモートからサーバのキャッシュを上書きされたり、不正なCookieやスクリプトを発行あるいは実行されたりする恐れがある。またサイボウズ Officeでは、細工されたHTTPリクエストをサーバが適切に処理できず、DoS攻撃を受ける可能性がある。
サイボウズは各ソフトウェアの問題を修正した最新版をリリース済み。
いずれの脆弱性も2006年11月20日と同12月15日にIPAが届出を受けたもので、JPCERT/CCがサイボウズと調整を行い、同日公表した。
Copyright © ITmedia, Inc. All Rights Reserved.