パッケージ版 障害・メンテナンス情報

2015/05/25【障害情報】

[解決済]セキュリティパッチ公開のご案内

この度、desknet's NEOにてセキュリティ上の問題が確認されましたのでご報告いたします。

■対象製品及びバージョン
 製品名:
  desknet's NEO スモールライセンス及びエンタープライズライセンス
 バージョン:
  V2.0 R1.0~V2.5 R1.4
 対象DB:
  PostgreSQL対応版、SQL Server対応版、Oracle対応版

  ※desknet's NEO V1.0をご利用の場合は影響ございません。
  ※旧desknet'sやdesknet's SSS等のdesknet's NEO以外の製品には影響ござい
   ません。

■事象/内容
 製品内の内部から呼び出されるプログラム(CGI)を、直接URL指定で呼び出した
 場合にサーバの情報が漏洩する脆弱性(ディレクトリトラバーサル)が存在します。
 ※再現手順はセキュリティの観点から、非公開とさせていただきます。

■発生しうるセキュリティ上の影響
 非公開のファイルの漏洩
 サーバ内ファイルの閲覧
  -重要情報の漏洩
  -設定ファイル、データファイルの漏洩
 が発生する可能性がございます。

■対応方法
 desknet's NEO V2.0 R1.0~V2.5 R1.4をご利用の環境で、修正モジュールを適用
 することで、本脆弱性が解消されます。

 [アップデート情報]
  http://www.desknets.com/neo/download/patch/index.html
  →「V2.0またはV2.5 をご利用のお客様」の「セキュリティパッチ」よりダウンロード
   いただけます。
   [セキュリティパッチ]
    http://www.desknets.com/neo/download/patch/spatch_allver.html
    ※PostgreSQL対応版、SQL Server対応版、Oracle対応版のすべてでご利用
     いただけます。



以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。


-追記-
・PostgreSQL版はV3.0にて標準対応しております。
・SQL Server版/Oracle版はV2.5 R1.5にて標準対応しております。
 

 http://www.desknets.com/neo/download/#sec_02



障害・メンテナンス情報の一覧に戻る

PAGE TOP