サイボウズガルーンに複数の脆弱性

サイボウズ株式会社が提供するグループウェア「サイボウズ ガルーン」に脆弱性が発見されたとJVNが公表しました。

 

脆弱性タイプ

①任意のPHPを実行される脆弱性 (CVE-2015-5646)

①RSSリーダーに関する不適切な入力確認の脆弱性 (CVE-2015-5647)

②ログイン認証に起因する LDAP インジェクションの脆弱性

 

想定被害

①サーバ上で任意の PHP コードを実行される可能性あり

②当該製品に不正にログインされたり、認証サーバの情報が漏えいしたりする可能性あり

 

発見されたシステム・バージョン

3.0.0 から 4.0.3 まで

 

対応方法

対応するパッチを適用する

 

サイボウズ株式会社はグループウェアソフトのシェアNo.1の会社。

ガルーンは大企業向け、クラウド型提供(パッケージもあり)が特徴だ。

 

サイボウズは、2014年6月より脆弱性報奨金制度を始めております。

(リンク:サイボウズ脆弱性報奨金制度

この制度は、サイボウズ社製の商品に関する脆弱性を報告した方に報奨金などを支払う取り組みです。

海外ではGoogleやMicrosoftなども行っておりオープンにすることで脆弱性を早期発見し、安全なシステムを利用者へ提供したいという目的があります。

 

今回の脆弱性がサービス開発者からの報告によって開示されている姿勢もこういった考えの元行われております。

脆弱性を開示することにちゅうちょする企業が多い中、このような姿勢はとても評価できます。

これが日本のスタンダードになることで、サイバーセキュリティ対策分野も成長していくのかなと思います。

 

 

本サービスご利用中の方は開発者情報をご確認うえ、ご対応下さいませ。

 

【参照:[CyVDB-1018][CyVDB-1021]ログイン認証に関するLDAPインジェクションの脆弱性

【参照:[CyVDB-863]任意のPHPを実行される脆弱性

LINEで送る
Pocket

Related Posts