Webサーバーの設定によっては、データディレクトリにブラウザからアクセスできてしまう【CY14-003-001】(2014/3/10)
■内容
Webサーバーに適切なアクセス権が設定されていない場合
ブラウザ上で、ログインせずに登録データを閲覧できてしまう脆弱性です。
攻撃者がこの脆弱性を利用することで、製品の利用権限がなくても
登録されているデータの一部を閲覧できる可能性があります。
※Webサーバーがインターネット上からアクセス出来ない環境では、
外部(インターネット網)から攻撃を受けることはございません。
■対象製品
サイボウズ Office 9
サイボウズ Office 8
サイボウズ デヂエ 8
サイボウズ メールワイズ 4
※各製品、パッケージ版のみが対象です。
■対処方法
以下のいずれかの対応をお願いいたします。
1.Webサーバーの設定変更
上記の対象製品をインストールしているインストールディレクトリに対して
httpからのアクセスができないように設定をしてください。
2.製品のメジャーバージョンアップ
「サイボウズ Office 8」/「サイボウズ Office 9」は「サイボウズ Office 10.0.2」以上
「サイボウズ メールワイズ 4 」は「サイボウズ メールワイズ 5.1.2」以上への
メジャーバージョンアップを実施し、
インストールディレクトリと、データを保存するディレクトリを分割してください。
・サイボウズ Office 10
http://faq.cybozu.info/alphascope/cybozu/web/office10/Detail.aspx?id=1635
・サイボウズ メールワイズ 5
http://faq.cybozu.info/alphascope/cybozu/web/mailwise5/Detail.aspx?id=1005
Webサーバーに適切なアクセス権が設定されていない場合
ブラウザ上で、ログインせずに登録データを閲覧できてしまう脆弱性です。
攻撃者がこの脆弱性を利用することで、製品の利用権限がなくても
登録されているデータの一部を閲覧できる可能性があります。
※Webサーバーがインターネット上からアクセス出来ない環境では、
外部(インターネット網)から攻撃を受けることはございません。
■対象製品
サイボウズ Office 9
サイボウズ Office 8
サイボウズ デヂエ 8
サイボウズ メールワイズ 4
※各製品、パッケージ版のみが対象です。
■対処方法
以下のいずれかの対応をお願いいたします。
1.Webサーバーの設定変更
上記の対象製品をインストールしているインストールディレクトリに対して
httpからのアクセスができないように設定をしてください。
2.製品のメジャーバージョンアップ
「サイボウズ Office 8」/「サイボウズ Office 9」は「サイボウズ Office 10.0.2」以上
「サイボウズ メールワイズ 4 」は「サイボウズ メールワイズ 5.1.2」以上への
メジャーバージョンアップを実施し、
インストールディレクトリと、データを保存するディレクトリを分割してください。
・サイボウズ Office 10
http://faq.cybozu.info/alphascope/cybozu/web/office10/Detail.aspx?id=1635
・サイボウズ メールワイズ 5
http://faq.cybozu.info/alphascope/cybozu/web/mailwise5/Detail.aspx?id=1005