PR
セキュリティ・ホールの概要(IPAの発表資料から引用)
セキュリティ・ホールの概要(IPAの発表資料から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は10月24日,ネオジャパンのグループウエア「desknet's」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたデータを送信されると,desknet'sが稼働するマシン上で悪質なプログラムを実行される恐れがある。バージョン5.0J R1.0以降では修正されている。

 Webベースのグループウエア・ソフトであるdesknet'sのバージョン4.5J R2.4およびそれ以前には,ユーザーからのリクエストを処理する部分にバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたリクエストを送信されるとバッファ・オーバーフローが発生し,リクエストに含まれる任意のプログラムを実行される恐れがある。desknet'sのサービスが正常に動作しなくなる可能性もあるという。つまり,サービス妨害(DoS)攻撃を許す恐れがある。

 今回のセキュリティ・ホールは,バージョン5.0J R1.0以降では解消されている。このため,バージョン5.0J R1.0以降にアップデートすることが対策となる。アップデートモジュールは,ネオジャパンのWebサイトで公開されている。

IPAとJPCERT/CCが共同運用するJVNの情報(JVN#07235355)
ネオジャパンの JVN#07235355 への対応
IPAの情報
ネオジャパンの「アップデートモジュールダウンロード」サイト