6 月度 cybozu.com 定期メンテナンス完了のお知らせ

作成) 2014/06/08
更新) 2014/06/13
更新) 2014/06/24

下記の通り「cybozu.com」の定期メンテナンスを実施いたしました。


【 1 】各サービスのアップデート内容

・「kintone on cybozu.com」にて、マイナーバージョンアップ相当のアップデートを行いました。
・「メールワイズon cybozu.com」にて、マイナーバージョンアップ相当のアップデートを行いました。
・「サイボウズ Office on cybozu.com」にて、不具合改修を行いました。
・「Garoon on cybozu.com」にて、不具合改修を行いました。

各サービスのアップデートの詳細につきましては、以下をご確認ください。
サイボウズ Office on cybozu.com
Garoon on cybozu.com
kintone on cybozu.com
メールワイズ on cybozu.com


【 2 】脆弱性対応について

今回のメンテナンスにて、下記の脆弱性への対応を完了しております。

● cybozu.com共通管理
　・(2014/06/24 管理番号のみ追加)【CyVDB-385、CyVDB-403】一般ユーザーの権限で、実行に
　　管理権限が必要な次の非公開のAPIを実行できてしまう。
　　　・システムタイムゾーンの変更
　　　・ログイン名等の重複確認
　・【CyVDB-396】一般ユーザーが、HTTPレスポンスの内容から、「パスワードを無期限に設定しているか
　　どうか」を確認できてしまう。
　・(2014/06/13 追加)【CyVDB-447】システムタイムゾーンとユーザーのタイムゾーンの ID に、
　　cybozu.com共通管画面で用意している選択肢以外の特定の ID を指定すると、エラーが発生し、
　　ページが表示できなくなる。

● kintone
　・(2014/06/24 追加)【CyVDB-462】iframeを使用したHTMLタグの埋め込みに起因するXSSの脆弱性。

また、2014 年 4 月 13 日に実施いたしました 4 月度のメンテナンスにて、下記の脆弱性への対応を
完了しております。ご報告が遅くなりまして申し訳ございませんでした。

● cybozu.com共通管理
　・【CyVDB-371】システムメール送信機能においてメールボム（短時間の大量のメール送信）に悪用
　　できてしまう脆弱性。
　・【CyVDB-387】監査ログのCSVファイルダウンロードにおけるクロスサイトリクエストフォージェリの脆弱性。
　・【CyVDB-393】ユーザーのプロフィール画像とヘッダーのロゴ画像をダウンロードする処理のレスポンス
　　ヘッダに、「Content-Disposition: attachment」を付与。
　・【CyVDB-394】URLにリダイレクトパラメーターが付与された場合のクロスサイトスクリプティングの
　　脆弱性。

● kintone
　・【CyVDB-380】ページのHTMLソース見ることで、ゲストユーザーが、本来閲覧できない通常のユーザー
　　の情報を閲覧できてしまう。
　・【CyVDB-401】アップロードしたJavaScriptファイルに対して、推測可能なURLが割り当てられる脆弱性。


【 3 】お問い合わせ窓口

本内容についてご不明な点がございましたら、お問い合わせフォームよりお問い合わせください。