サイボウズ製品の脆弱性について

2006.9.1

2006年 9月 1日に公開した内容を更新しました。
5秒後に自動的に新 URL に移動します。

※自動的に移動しない場合は下記 URL をクリックしてください。
 http://cybozu.co.jp/products/dl/notice/

平素はサイボウズ製品をご利用いただき、誠にありがとうございます。

この度、サイボウズ製品において 3 件の脆弱性が発見されております。
この問題により、データベース内のデータ操作や My SQLサーバーへのDos 攻撃(サーバーのサービスを不能にする攻撃)、ユーザーリストを 取得される可能性があります。
対象製品をご利用のお客様は、速やかに改修プログラムの適用および対処をお願いいたします。

発見された脆弱性の内容・対象製品・対処方法

内容 SQLインジェクションの脆弱性

悪意のあるユーザーが、この脆弱性を利用した不正アクセスを行った場合、データベース内のデータ操作や My SQL サーバーへ Dos 攻撃される可能性があります。
対象製品 サイボウズ ガルーン 2
サイボウズ ワークフロー for ガルーン 2
対処方法 改修プログラムを適用してください。 改修プログラムを入手する
内容 ディレクトリ トラバーサルの脆弱性

悪意のある第三者が、この脆弱性を利用した不正アクセスを行った場合、製品をインストールしたサーバーからファイルをダウンロードされる可能性があります。
対象製品 サイボウズ Office 6
サイボウズ AG
サイボウズ メールワイズ
サイボウズ Share360
サイボウズ ガルーン(ファイル管理サーバー/掲示板サーバー/施設予約サーバー)
サイボウズ ガルーン ワークフロー
対処方法 改修プログラムを適用してください。 改修プログラムを入手する
内容 ユーザーリストが取得できる脆弱性

悪意のある第三者がこの脆弱性を利用した不正アクセスを行った場合、 製品をインストールしたサーバーからユーザーリストを取得される可能性があります。
対象製品 サイボウズ Office 6
サイボウズ AG
サイボウズ ガルーン
対処方法 サイボウズ Office 6
 改修プログラムを適用してください。
改修プログラムを入手する
サイボウズ AG
サイボウズ ガルーン

 対処方法をご確認ください。
method_060901.pdf(43kb)

※上記対象製品をイントラネット内でのみ運用している場合に、外部(インターネット網)から攻撃を受けることはございません。