PHP-CGI の query string の処理に脆弱性【CY12-06-001】
■不具合の現象
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
悪意のある第三者がこの脆弱性を利用すると、
サービス運用妨害(Dos)攻撃をうけたり、Web サーバーの権限で任意のコードが実行される可能性があります。
補足:
JPCERT(コンピューター緊急対策センター)公開情報は次のとおりです。
JVNVU#520827
PHP-CGI の query string の処理に脆弱性
http://jvn.jp/cert/JVNVU520827/index.html
■該当バージョン
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
該当するバージョンで、且つ、いずれかの条件を満たす環境では本脆弱性の影響
がございます。
・該当バージョン
「ガルーン 3.1.0 ~ 3.1.3」
「ガルーン 3.5.0 ~ 3.5.1」
・条件
-サーバー OS が Linux
-サーバー OS が Windows で、Webサーバーに IIS 6.0 もしくは Apache を使用
■対応方法
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
不具合情報公開サイトからパッチプログラムを適用してください。
▼ 不具合情報公開サイト[製品:ガルーン]
https://support.cybozu.com/ja-jp/article/5900
・「ガルーン 3.1.x」の場合
ガルーン 3.1.3へバージョンアップ後、パッチプログラムを適用してください。
•Windows版
ファイル名:Garoon20120606Patch-3.1-sp3.zip
•Linux版
ファイル名:Garoon20120606Patch-3.1-sp3.tar
・「ガルーン 3.5.x」の場合
ガルーン 3.5.1へバージョンアップ後、パッチプログラムを適用してください。
•Windows版
ファイル名:Garoon20120606Patch-3.5-sp1.zip
•Linux版
ファイル名:Garoon20120606Patch-3.5-sp1.tar
・DB分割構成の場合
本不具合に対処するパッチプログラムを、オフィシャル パートナー向けに公開しています。
該当のパッチプログラムについての詳細は、オフィシャル パートナー、または販売元に
お問い合わせください。
■パッチの適用方法
ダウンロードしたファイルを解凍して、Readme.txt をご確認ください。
※パッチの適用作業に関しましては、お客様の構築環境にも依存するため、
ご自身で実施される前に一度構築パートナー様へご相談いただくことを
おすすめいたします。
■お問い合わせ先
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
本件について、ご不明な点は以下までお問い合わせください。
○サイボウズ テクニカルサポートセンター
E-mail: grsupport@cybozu.co.jp