パッケージ版 障害・メンテナンス情報

2020/12/04【障害情報】

desknet'sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について

desknet's NEO 製品における、セキュリティ上の問題(クロスサイト・スクリプティング)について
 
                                     公開日:2020/12/02
                                   最終更新日:2020/12/04
 
 
この度、desknet's NEOにてセキュリティ上の問題(クロスサイト・スクリプティング)が確認されました
のでご報告いたします。
 
 ■対象となる製品及びバージョン
  製品名:
   desknet's NEO スモールライセンス及びエンタープライズライセンス
  対象バージョン :
   V5.5 R1.5 およびそれ以前
  対象データベース :
   PostgreSQL対応版、SQL Server対応版、Oracle対応版
 
 
 ■事象/内容
  管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを入力しておき、
  他のユーザーが、細工された該当のリンクをクリックすると、そのユーザーのウェブブラウザ上で、
  スクリプトが実行される可能性があります。
 
  ※再現手順はセキュリティの観点から、非公開とさせていただきます。
 
 
 ■想定されるセキュリティ上の影響
  想定されるセキュリティ上の影響は、次のような影響を受ける可能性があります。
  ・当該製品にログインしているユーザーのウェブブラウザ上で、任意のスクリプトを実行させられる

  ※desknet's NEOにログインしていることが前提となります。
   従いまして、第三者攻撃の可能性は低いものとなります。
 
  ※細工したスクリプトを入力(登録)できるのは、管理者権限を持つユーザーに限定されます。
   従いまして、攻撃者(登録者=管理者)の特定が可能で、影響範囲が特定されています。
 
 
 ■暫定対応策
  本事象は管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを
  入力し、且つ該当のブックマークにアクセスした際に生じる可能性がある問題となります。
  基本的に管理者権限を持ったユーザーが故意に細工したスクリプトを入力(登録)しない限り
  本事象は生じません。
 
  以下に暫定対応策例を記載します。
 
  1)[共有ブックマーク設定]を開いていただき、不要な共有ブックマークを削除または非表示と
   していただく。

  2)「共通ポータルデザイン設定」「組織ポータルデザイン設定」及び各ユーザーの「個人ポータル
   デザイン設定」にて、ポータルに「ブックマーク」コンテンツを表示させないようしていた
   だく。
   ※恐れ入りますが現行「個人ポータルデザイン設定」のポータル設定を一括で変更する機能
    及び、「ブックマーク」コンテンツ自体を選択不能にする機能は未提供となります。
 
  3)管理者権限を持つユーザーを把握(※)いただき、管理者権限を持つユーザーを一般ユーザーに
   変更する等、共有ブックマークへの変更を行わせるユーザーを最小限に絞っていただく。
   ※システム管理者設定-[運用設定]-[ユーザー設定]-[ユーザー情報のエクスポート]にて
    「エクスポート対象」を「(すべて)」としていただきエクスポートいただく事で
    「user.csv」ファイルがダウンロードいただけます。
    この「user.csv」ファイルを開いていただき「ユーザーレベル」が「管理者」と
    設定されているユーザーが管理者権限を持つユーザーとなります。
 
  4)管理者権限を持つユーザーに対し適切なパスワードを設定いただき、第三者からのログイン
   を容易に行わせないようにしていただく。


 ■恒久対応策
  最新バージョン(V6.0 R1.0)へアップデートすることで、本セキュリティの問題が解消されます。
 
  【deskne's NEOをパッケージ版でご利用中のお客様】
   <PostgreSQL版をご利用の場合>
    アップデートモジュールをダウンロードの上、インストールを行ってください。
    https://www.desknets.com/neo/download/patch/

   <SQLServer版及びOracle版をご利用の場合>
    アップデートモジュールのご用意ができ次第、後日別途ご連絡を差し上げます。

  【deskne's NEOをクラウドでご利用中のお客様】
   クラウド版へのバージョンアップ日時に関しましては、後日別途ご連絡を差し上げます。
   ご連絡まで少々お待ちください。
   ※ライセンス持込型のお客様は有償でのご対応となります。
    
 
 ■関連情報
  desknet'sNEO におけるクロスサイトスクリプティングの脆弱性ついて
  https://jvn.jp/jp/JVN42199826/
 
  
 ■更新履歴
   2020.12.2  この脆弱性情報ページを公開しました。
   2020.12.3  「■関連情報」を追記しました。
   2020.12.4  「■暫定対応策」を追記しました。
 
 ■本件に関するお問い合わせ
   株式会社ネオジャパン プロダクト事業本部
   E-Mail:neotech@desknets.com
 
 
 
以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。

障害・メンテナンス情報の一覧に戻る

PAGE TOP