「サイボウズ ガルーン 3」 脆弱性対応パッチを公開しました。

 

■ リリース製品

 

--------------------------------------------------------------------------------

 

　・「サイボウズ ガルーン 3.1 Service Pack 3 パッチ」
　・「サイボウズ ガルーン 3.5 Service Pack 1 パッチ」

本不具合は緊急性を優先し、Service Pack としてのご提供ではなく、
パッチ対応とさせていただいております。
ご迷惑をお掛けいたしまして、誠に申し訳ございません。

 

■ 脆弱性の詳細と該当バージョン

 

--------------------------------------------------------------------------------

 

 ■該当する脆弱性情報
　　CGI として使用する設定になっている PHP において、リモートからコマンド
　　実行が可能な脆弱性が発見されました。  
　　この脆弱性が悪用されると、サービス運用妨害（Dos）攻撃をうけたり、
　　Web サーバーの権限で任意のコードが実行される可能性があります。

  

　　詳細については、不具合情報公開サイトよりご確認ください。

　　▽不具合情報公開サイト[製品：ガルーン]
　　『PHP-CGI の query string の処理に脆弱性』
　　https://support.cybozu.com/ja-jp/article/5900

 

　■該当するバージョンと詳細
　
　該当するバージョンで、且つ、いずれかの条件を満たす環境では本脆弱性の影響
　がございます。
　
　・該当バージョン
　　「サイボウズ ガルーン 3.1.0 ～ 3.1.3」
　　「サイボウズ ガルーン 3.5.0 ～ 3.5.1」
　・条件
　　-サーバー OS が Linux
　　-サーバー OS が Windows で、Webサーバーに IIS 6.0 もしくは Apache を使用

 

■パッチの入手方法および適用方法
　
--------------------------------------------------------------------------------

　
　　不具合情報公開サイトからダウンロードすることが可能です。

　　▼ 不具合情報公開サイト[製品：ガルーン]
　　　https://support.cybozu.com/ja-jp/article/5900

　・「ガルーン 3.1.x」の場合
　　ガルーン 3.1.3へバージョンアップ後、パッチプログラムを適用してください。

　　•Windows版
　　　ファイル名：Garoon20120606Patch-3.1-sp3.zip

　　•Linux版
　　　ファイル名：Garoon20120606Patch-3.1-sp3.tar

　・「ガルーン 3.5.x」の場合
　　ガルーン 3.5.1へバージョンアップ後、パッチプログラムを適用してください。

　　•Windows版
　　　ファイル名：Garoon20120606Patch-3.5-sp1.zip

　　•Linux版
　　　ファイル名：Garoon20120606Patch-3.5-sp1.tar

　・DB分割構成の場合
　　本不具合に対処するパッチプログラムを、オフィシャル パートナー向けに公開しています。
　　該当のパッチプログラムについての詳細は、オフィシャル パートナー、または販売元に
　　お問い合わせください。