【セキュリティ情報】当社が利用しているdesknet’sNEO製品(J-MOTTOグループウェア)について
いつもJ-MOTTOグループウェアをご利用いただきありがとうございます。
このたび、「J-MOTTOグループウェア」について、カスタマイズ元製品の「desknet’sNEOグループウェア」に脆弱性の報告がございました。本件について弊社は下記のように対応する予定ですので、お知らせ申し上げます。
ご利用中の皆様にはご不便をおかけ致しますが、何卒ご理解ご協力いただきますようお願いいたします。
本件は 2021年3月23日 に改修プログラムのリリースをおこないました。(該当脆弱性を修正済)
以下は当時(改修前)の記事になります。
脆弱性に関する情報サイト(ネオジャパン社)
desknet’sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について
J-MOTTOで影響を受けるサービス
「J-MOTTOグループウェア」
※弊社グループウェアは「desknet’sNEO」をベースにしたカスタマイズ版になります。
グループウェア以外の製品に脆弱性の報告はございません。
事象/内容
管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを入力しておき、
他のユーザーが、細工された該当のリンクをクリックすると、そのユーザーのウェブブラウザ上で、
スクリプトが実行される可能性がある
※ログイン済みが前提になるため、第三者による攻撃の可能性は通常はございません。
また、細工したスクリプトを入力(登録)できるのは、管理者権限を持つユーザーに限定されます。
従いまして、攻撃者(登録者=管理者/機能管理者)の特定が可能で、影響範囲が特定されています。
回避策/暫定対応について
ネオジャパン社が公開している方法と同じになります。
1)[共有ブックマーク設定]を開いていただき、不要な共有ブックマークを削除または非表示と
していただく。
2)「共通ポータルデザイン設定」「組織ポータルデザイン設定」及び各ユーザーの「個人ポータル
デザイン設定」にて、ポータルに「ブックマーク」コンテンツを表示させないようしていた
だく。
※恐れ入りますが現行「個人ポータルデザイン設定」のポータル設定を一括で変更する機能
及び、「ブックマーク」コンテンツ自体を選択不能にする機能は未提供となります。
3)グループウェア管理者権限を持つユーザーを把握いただき、管理者権限を持つユーザーを
再検討の上で一般ユーザーに変更する等、共有ブックマークへの変更を行わせるユーザーを
最小限に絞っていただく。
※確認方法
管理者設定 > 運用設定 > ユーザー設定 > ユーザー情報のエクスポート にて
「エクスポート対象」を「(すべて)」としていただきエクスポートいただく事で
「user.csv」ファイルがダウンロードいただけます。
この「user.csv」ファイルを開いていただき「ユーザーレベル」が「管理者」と
設定されているユーザーが管理者権限を持つユーザーとなります。
4)管理者権限を持つユーザーに対し適切なパスワードを設定いただき、第三者からのログイン
を容易に行わせないようにしていただく。
弊社における対応
・弊社においてはdesknet’sNEO製品版の対応とは異なり、専用のセキュリティパッチ(改修プログラム)の
提供を受ける予定です。
現状では2月ごろに提供を受ける予定でおりますが、本件については日程等が決まり次第、あらためて
停止(臨時)メンテナンスの有無等を含め、お知らせさせて頂きます。
対応履歴
2020年12月 8日 掲載
2021年12月14日 対応済みの記載を追加