2014.6.9 　　作成
2014.11.10　更新
2015.12.15　更新

■内容

YUIのswfファイルが存在する場合に、スクリプトが実行できてしまう脆弱性です。

攻撃者がこの脆弱性を利用することで、ウェブアプリケーション上の
情報を抜き取ることができます。


■対象製品
サイボウズ Office on cybozu.com
サイボウズ Office 10
サイボウズ Office 9
サイボウズ Office 8
サイボウズ デヂエ 8

■対処方法
・Office on cybozu.com
2014年2月のメンテナンスにて改修、公開済みです。


・サイボウズ Office 8/サイボウズ Office 9/サイボウズ Office 10
サイボウズ デヂエ 8
以下の両方の対応をお願いいたします。

1.製品のバージョンアップ
「サイボウズ Office」は「サイボウズ Office 10.1.0」以上のバージョンへ、 バージョンアップをお願いします。
「サービスライセンス」をご契約期間中のお客様は無償でバージョンアップしていただくことが可能です。
また、「サービスライセンス」ご契約期間外のお客様も 「サービスライセンス」を改めてご契約いただくことで、 バージョンアップしていただくことが可能です。
詳細はこちらをご確認ください。

　>>マニュアル
http://manual.cybozu.co.jp/of10/intro/verup/index.html
　>>ダウンロード
http://products.cybozu.co.jp/office/ver10/trial/#download

「サイボウズ デヂエ 8」は「サイボウズ デヂエ 8.1.1」以上のバージョンへ、バージョンアップをお願いします。
「サイボウズ デヂエ 8」をご契約中のお客様は、無償でバージョンアップしていただくことが可能です。

　>>バージョンアップ時注意事項
　http://products.cybozu.co.jp/dezie/ver8/product/oldversion/note/
　>>マニュアル
　http://manual.cybozu.co.jp/dezie8/install/verup_win.html
　http://manual.cybozu.co.jp/dezie8/install/verup_lin.html
>>ダウンロード
　http://products.cybozu.co.jp/dezie/ver8/trial/download/


2.不要なドキュメントルートディレクトリ、ファイルの削除

「サイボウズ Office 10.1.0」以上のバージョンアップを行ったあと に行ってください。

サイボウズ Office を運用しているサーバーで不要な過去バージョンのドキュメントルートディレクトリの「cbXXX」を削除してください。

たとえば、各バージョンの対象ファイルの例は以下です。
Office 8「cb80」（例：C:\Inetpub\wwwroot\cb80）
Office 9.1「cb910」（例：C:\Inetpub\wwwroot\cb910）


「サイボウズ デヂエ 8.1.1」以上のバージョンアップを行ったあと に行ってください。

サイボウズ デヂエ を運用しているサーバー上で不要な以下の2ファイルを削除してください。
cbdb8/html/yui/charts/assets/charts.swf
cbdb8/html/yui/uploader/assets/uploader.swf