MENU

サービス関連情報

service info

【セキュリティ情報】当社が利用しているdesknet’sNEO製品(J-MOTTOグループウェア)について

いつもJ-MOTTOグループウェアをご利用いただきありがとうございます。

 

このたび、「J-MOTTOグループウェア」について、カスタマイズ元製品の「desknet’sNEOグループウェア」に脆弱性の報告がございました。本件について弊社は下記のように対応する予定ですので、お知らせ申し上げます。
ご利用中の皆様にはご不便をおかけ致しますが、何卒ご理解ご協力いただきますようお願いいたします。

 

脆弱性に関する情報サイト(ネオジャパン社)

desknet’sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について

 

J-MOTTOで影響を受けるサービス

 「J-MOTTOグループウェア」

 ※弊社グループウェアは「desknet’sNEO」をベースにしたカスタマイズ版になります。
  グループウェア以外の製品に脆弱性の報告はございません。

 

事象/内容

管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを入力しておき、
他のユーザーが、細工された該当のリンクをクリックすると、そのユーザーのウェブブラウザ上で、
スクリプトが実行される可能性がある
 

  ※ログイン済みが前提になるため、第三者による攻撃の可能性は通常はございません。
   また、細工したスクリプトを入力(登録)できるのは、管理者権限を持つユーザーに限定されます。
   従いまして、攻撃者(登録者=管理者/機能管理者)の特定が可能で、影響範囲が特定されています。

 

回避策/暫定対応について

ネオジャパン社が公開している方法と同じになります。
 
  1)[共有ブックマーク設定]を開いていただき、不要な共有ブックマークを削除または非表示と
   していただく。
 
  2)「共通ポータルデザイン設定」「組織ポータルデザイン設定」及び各ユーザーの「個人ポータル
   デザイン設定」にて、ポータルに「ブックマーク」コンテンツを表示させないようしていた
   だく。
   ※恐れ入りますが現行「個人ポータルデザイン設定」のポータル設定を一括で変更する機能
    及び、「ブックマーク」コンテンツ自体を選択不能にする機能は未提供となります。
 
  3)グループウェア管理者権限を持つユーザーを把握いただき、管理者権限を持つユーザーを
   再検討の上で一般ユーザーに変更する等、共有ブックマークへの変更を行わせるユーザーを
   最小限に絞っていただく。
 
   ※確認方法
    管理者設定 > 運用設定 > ユーザー設定 > ユーザー情報のエクスポート にて
    「エクスポート対象」を「(すべて)」としていただきエクスポートいただく事で
    「user.csv」ファイルがダウンロードいただけます。
    この「user.csv」ファイルを開いていただき「ユーザーレベル」が「管理者」と
    設定されているユーザーが管理者権限を持つユーザーとなります。
 
  4)管理者権限を持つユーザーに対し適切なパスワードを設定いただき、第三者からのログイン
   を容易に行わせないようにしていただく。

 

弊社における対応

 ・弊社においてはdesknet’sNEO製品版の対応とは異なり、専用のセキュリティパッチ(改修プログラム)の
  提供を受ける予定です。
  現状では2月ごろに提供を受ける予定でおりますが、本件については日程等が決まり次第、あらためて
  停止(臨時)メンテナンスの有無等を含め、お知らせさせて頂きます。

 

以上

以上

一覧に戻る