2020/12/02 障害情報
[解決済み]desknet'sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について
desknet's NEO 製品における、セキュリティ上の問題(クロスサイト・スクリプティング)について
公開日:2020/12/02
最終更新日:2021/03/01
この度、desknet's NEOにてセキュリティ上の問題(クロスサイト・スクリプティング)が確認されました
のでご報告いたします。
■対象となる製品及びバージョン
製品名:
desknet's NEO スモールライセンス及びエンタープライズライセンス
対象バージョン :
V5.5 R1.5 およびそれ以前
対象データベース :
PostgreSQL対応版、SQL Server対応版、Oracle対応版
■事象/内容
管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを入力しておき、
他のユーザーが、細工された該当のリンクをクリックすると、そのユーザーのウェブブラウザ上で、
スクリプトが実行される可能性があります。
※再現手順はセキュリティの観点から、非公開とさせていただきます。
■想定されるセキュリティ上の影響
想定されるセキュリティ上の影響は、次のような影響を受ける可能性があります。
・当該製品にログインしているユーザーのウェブブラウザ上で、任意のスクリプトを実行させられる
※desknet's NEOにログインしていることが前提となります。
従いまして、第三者攻撃の可能性は低いものとなります。
※細工したスクリプトを入力(登録)できるのは、管理者権限を持つユーザーに限定されます。
従いまして、攻撃者(登録者=管理者)の特定が可能で、影響範囲が特定されています。
■暫定対応策
本事象は管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを
入力し、且つ該当のブックマークにアクセスした際に生じる可能性がある問題となります。
基本的に管理者権限を持ったユーザーが故意に細工したスクリプトを入力(登録)しない限り
本事象は生じません。
以下に暫定対応策例を記載します。
1)[共有ブックマーク設定]を開いていただき、不要な共有ブックマークを削除または非表示と
していただく。
2)「共通ポータルデザイン設定」「組織ポータルデザイン設定」及び各ユーザーの「個人ポータル
デザイン設定」にて、ポータルに「ブックマーク」コンテンツを表示させないようしていた
だく。
※恐れ入りますが現行「個人ポータルデザイン設定」のポータル設定を一括で変更する機能
及び、「ブックマーク」コンテンツ自体を選択不能にする機能は未提供となります。
3)管理者権限を持つユーザーを把握(※)いただき、管理者権限を持つユーザーを一般ユーザーに
変更する等、共有ブックマークへの変更を行わせるユーザーを最小限に絞っていただく。
※システム管理者設定-[運用設定]-[ユーザー設定]-[ユーザー情報のエクスポート]にて
「エクスポート対象」を「(すべて)」としていただきエクスポートいただく事で
「user.csv」ファイルがダウンロードいただけます。
この「user.csv」ファイルを開いていただき「ユーザーレベル」が「管理者」と
設定されているユーザーが管理者権限を持つユーザーとなります。
4)管理者権限を持つユーザーに対し適切なパスワードを設定いただき、第三者からのログイン
を容易に行わせないようにしていただく。
■恒久対応策
「V6.0 R1.0」以上へアップデートすることで、本セキュリティの問題が解消されます。
【deskne's NEOをパッケージ版でご利用中のお客様】
アップデートモジュールをダウンロードの上、インストールを行ってください。
https://www.desknets.com/neo/download/patch/
【deskne's NEOをクラウドでご利用中のお客様】(2021/03/01更新)
クラウドサービス利用型のお客様に関しましては、適用が完了しております。
※ライセンス持込型のお客様は有償でのご対応となります。
■関連情報
desknet'sNEO におけるクロスサイトスクリプティングの脆弱性ついて
https://jvn.jp/jp/JVN42199826/
■更新履歴
2020.12.2 この脆弱性情報ページを公開しました。
2020.12.3 「■関連情報」を追記しました。
2020.12.4 「■暫定対応策」を追記しました。
2021.03.1 「■恒久対応策」を追記しました。
■本件に関するお問い合わせ
株式会社ネオジャパン プロダクト事業本部
E-Mail:neotech@desknets.com
以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。
公開日:2020/12/02
最終更新日:2021/03/01
この度、desknet's NEOにてセキュリティ上の問題(クロスサイト・スクリプティング)が確認されました
のでご報告いたします。
■対象となる製品及びバージョン
製品名:
desknet's NEO スモールライセンス及びエンタープライズライセンス
対象バージョン :
V5.5 R1.5 およびそれ以前
対象データベース :
PostgreSQL対応版、SQL Server対応版、Oracle対応版
■事象/内容
管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを入力しておき、
他のユーザーが、細工された該当のリンクをクリックすると、そのユーザーのウェブブラウザ上で、
スクリプトが実行される可能性があります。
※再現手順はセキュリティの観点から、非公開とさせていただきます。
■想定されるセキュリティ上の影響
想定されるセキュリティ上の影響は、次のような影響を受ける可能性があります。
・当該製品にログインしているユーザーのウェブブラウザ上で、任意のスクリプトを実行させられる
※desknet's NEOにログインしていることが前提となります。
従いまして、第三者攻撃の可能性は低いものとなります。
※細工したスクリプトを入力(登録)できるのは、管理者権限を持つユーザーに限定されます。
従いまして、攻撃者(登録者=管理者)の特定が可能で、影響範囲が特定されています。
■暫定対応策
本事象は管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを
入力し、且つ該当のブックマークにアクセスした際に生じる可能性がある問題となります。
基本的に管理者権限を持ったユーザーが故意に細工したスクリプトを入力(登録)しない限り
本事象は生じません。
以下に暫定対応策例を記載します。
1)[共有ブックマーク設定]を開いていただき、不要な共有ブックマークを削除または非表示と
していただく。
2)「共通ポータルデザイン設定」「組織ポータルデザイン設定」及び各ユーザーの「個人ポータル
デザイン設定」にて、ポータルに「ブックマーク」コンテンツを表示させないようしていた
だく。
※恐れ入りますが現行「個人ポータルデザイン設定」のポータル設定を一括で変更する機能
及び、「ブックマーク」コンテンツ自体を選択不能にする機能は未提供となります。
3)管理者権限を持つユーザーを把握(※)いただき、管理者権限を持つユーザーを一般ユーザーに
変更する等、共有ブックマークへの変更を行わせるユーザーを最小限に絞っていただく。
※システム管理者設定-[運用設定]-[ユーザー設定]-[ユーザー情報のエクスポート]にて
「エクスポート対象」を「(すべて)」としていただきエクスポートいただく事で
「user.csv」ファイルがダウンロードいただけます。
この「user.csv」ファイルを開いていただき「ユーザーレベル」が「管理者」と
設定されているユーザーが管理者権限を持つユーザーとなります。
4)管理者権限を持つユーザーに対し適切なパスワードを設定いただき、第三者からのログイン
を容易に行わせないようにしていただく。
■恒久対応策
「V6.0 R1.0」以上へアップデートすることで、本セキュリティの問題が解消されます。
【deskne's NEOをパッケージ版でご利用中のお客様】
アップデートモジュールをダウンロードの上、インストールを行ってください。
https://www.desknets.com/neo/download/patch/
【deskne's NEOをクラウドでご利用中のお客様】(2021/03/01更新)
クラウドサービス利用型のお客様に関しましては、適用が完了しております。
※ライセンス持込型のお客様は有償でのご対応となります。
■関連情報
desknet'sNEO におけるクロスサイトスクリプティングの脆弱性ついて
https://jvn.jp/jp/JVN42199826/
■更新履歴
2020.12.2 この脆弱性情報ページを公開しました。
2020.12.3 「■関連情報」を追記しました。
2020.12.4 「■暫定対応策」を追記しました。
2021.03.1 「■恒久対応策」を追記しました。
■本件に関するお問い合わせ
株式会社ネオジャパン プロダクト事業本部
E-Mail:neotech@desknets.com
以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。
-
パッケージ版
カスタマーセンター -
平日9時半-12時 / 13時-17時半
0800-500-6330
(※土日祝日を除く)※お問合せ内容により、担当部署から改めてのご回答となる場合がございます。
年間サポートご購入者さま向け技術的なお問合せ