| 概要: |
cookieにユーザが故意に任意の番号を設定する方法により、パスワード入力なしに、他ユーザ名でログインできてしまう。 |
| 脆弱性の影響: |
悪意をもった社内の他ユーザからログインされる |
| 対応策: |
| 「iOfficeV3」をお使いのお客様へ |
公開中の「セキュリティパッチ」を適用して頂くか、現行の「desknet's V2.1 R1.2」にお乗換下さい。(セキュリティパッチ適用前に、必ず「リリースノート」をご一読ください。)
| ※ |
セキュリティパッチを適用される場合 |
|
@ |
現行のiOfficeのデータのバックアップを、必ず取ってください。
→データバックアップの方法 |
|
A |
iOfficeV3の[ダウンロード]ページより、お使いのサーバOS毎の iocpatch8V3R1xx.xx(★不具合改修パッチ、ファイル名のxxはサーバOS毎に異なります)のみをダウンロードし、適用してください。
→パッチモジュールの適用 |
| ※ |
desknet's V2.1J R1.2に乗り換えられる場合 |
|
@ |
現行のiOfficeのデータのバックアップを、必ず取ってください。
→データバックアップの方法 |
|
A |
desknet'sの[ダウンロード]ページより、お使いのサーバOS毎の「データ移行ツール」をダウンロードし、インストールしてお使いください。 |
|
|
|
|
| 「desknet's 旧バージョン:V2.0以前のもの」をお使いのお客様へ |
現行の「desknet's V2.1 R1.2」にバージョンアップしてください。
(バージョンアップについては、[こちら]をご参照ください。) |
|
|
|
本件の説明:
弊社からの情報公開前に、本件(「iOfficeV3」および「desknet's V2.0以前(旧バージョン)」におけるセキュリティーホールの情報)が公開されましたことで、皆様方へはご心配をおかけする事態になり、大変恐縮に存じます。本件につきまして、以下、ご報告をさせていただきます。
今回の「セキュリティーホール」の件は、確かに、cookieの直接的な設定などを行うことにより、グループウェアを利用している社内の他のメンバーが、悪意をもって他ユーザになりすまし、情報を取得することは可能であることを弊社も確認いたしておりました。
本件につましての皆様方へのご連絡が遅くなりましたことは、弊社内の不備の致すところでございます。本件の指摘を頂いてから、弊社と致しましては、本件対応のセキュリティパッチをご用意した上で、セキュリティホールの存在と共に、皆様方へ公開する予定にしておりましたが、皆様へのご報告前に、本件の情報が公開されてしまった次第です。
「iOfficeV3」用のセキュリティパッチにつきましては、今月末を目処に公開予定にしておりましたので、今しばらくお待ちいただきますようお願い申し上げます。
今後、このようなことのない様にしっかりと対応して参りますので、宜しくお願い申し上げます。
※「iOfficeV3」セキュリティパッチに関しましては、3月25日に公開いたしました。詳細は、iOfficeV3のダウンロードページをご参照ください。
→iOfficeV3ダウンロード |
|
