6 月度 cybozu.com 定期メンテナンス完了のお知らせ(2014/06/13、2014/06/24 更新)
6 月度 cybozu.com 定期メンテナンス完了のお知らせ
作成) 2014/06/08
更新) 2014/06/13
更新) 2014/06/24
下記の通り「cybozu.com」の定期メンテナンスを実施いたしました。
【 1 】各サービスのアップデート内容
・「kintone on cybozu.com」にて、マイナーバージョンアップ相当のアップデートを行いました。
・「メールワイズon cybozu.com」にて、マイナーバージョンアップ相当のアップデートを行いました。
・「サイボウズ Office on cybozu.com」にて、不具合改修を行いました。
・「Garoon on cybozu.com」にて、不具合改修を行いました。
各サービスのアップデートの詳細につきましては、以下をご確認ください。
サイボウズ Office on cybozu.com
Garoon on cybozu.com
kintone on cybozu.com
メールワイズ on cybozu.com
【 2 】脆弱性対応について
今回のメンテナンスにて、下記の脆弱性への対応を完了しております。
● cybozu.com共通管理
・(2014/06/24 管理番号のみ追加)【CyVDB-385、CyVDB-403】一般ユーザーの権限で、実行に
管理権限が必要な次の非公開のAPIを実行できてしまう。
・システムタイムゾーンの変更
・ログイン名等の重複確認
・【CyVDB-396】一般ユーザーが、HTTPレスポンスの内容から、「パスワードを無期限に設定しているか
どうか」を確認できてしまう。
・(2014/06/13 追加)【CyVDB-447】システムタイムゾーンとユーザーのタイムゾーンの ID に、
cybozu.com共通管画面で用意している選択肢以外の特定の ID を指定すると、エラーが発生し、
ページが表示できなくなる。
● kintone
・(2014/06/24 追加)【CyVDB-462】iframeを使用したHTMLタグの埋め込みに起因するXSSの脆弱性。
また、2014 年 4 月 13 日に実施いたしました 4 月度のメンテナンスにて、下記の脆弱性への対応を
完了しております。ご報告が遅くなりまして申し訳ございませんでした。
● cybozu.com共通管理
・【CyVDB-371】システムメール送信機能においてメールボム(短時間の大量のメール送信)に悪用
できてしまう脆弱性。
・【CyVDB-387】監査ログのCSVファイルダウンロードにおけるクロスサイトリクエストフォージェリの脆弱性。
・【CyVDB-393】ユーザーのプロフィール画像とヘッダーのロゴ画像をダウンロードする処理のレスポンス
ヘッダに、「Content-Disposition: attachment」を付与。
・【CyVDB-394】URLにリダイレクトパラメーターが付与された場合のクロスサイトスクリプティングの
脆弱性。
● kintone
・【CyVDB-380】ページのHTMLソース見ることで、ゲストユーザーが、本来閲覧できない通常のユーザー
の情報を閲覧できてしまう。
・【CyVDB-401】アップロードしたJavaScriptファイルに対して、推測可能なURLが割り当てられる脆弱性。
【 3 】お問い合わせ窓口
本内容についてご不明な点がございましたら、お問い合わせフォームよりお問い合わせください。