サービス関連情報

いつもJ-MOTTOグループウェアをご利用いただきありがとうございます。

このたび、「J-MOTTOグループウェア」について、カスタマイズ元製品の「desknet’sNEOグループウェア」に脆弱性の報告がございました。本件について弊社は下記のように対応する予定ですので、お知らせ申し上げます。
ご利用中の皆様にはご不便をおかけ致しますが、何卒ご理解ご協力いただきますようお願いいたします。

　本件は　2021年3月23日 に改修プログラムのリリースをおこないました。（該当脆弱性を修正済）

以下は当時（改修前）の記事になります。

脆弱性に関する情報サイト（ネオジャパン社）

desknet’sNEO 製品におけるセキュリティ上の問題(クロスサイト・スクリプティング)について

J-MOTTOで影響を受けるサービス

　「J-MOTTOグループウェア」

　※弊社グループウェアは「desknet’sNEO」をベースにしたカスタマイズ版になります。
　　グループウェア以外の製品に脆弱性の報告はございません。

事象／内容

管理者権限を持ったユーザーが、共有ブックマークに対して故意に細工したスクリプトを入力しておき、
他のユーザーが、細工された該当のリンクをクリックすると、そのユーザーのウェブブラウザ上で、
スクリプトが実行される可能性がある
 

　　※ログイン済みが前提になるため、第三者による攻撃の可能性は通常はございません。
　　　また、細工したスクリプトを入力（登録）できるのは、管理者権限を持つユーザーに限定されます。
　　　従いまして、攻撃者（登録者＝管理者／機能管理者）の特定が可能で、影響範囲が特定されています。

回避策／暫定対応について

ネオジャパン社が公開している方法と同じになります。
 
　　1)[共有ブックマーク設定]を開いていただき、不要な共有ブックマークを削除または非表示と
　　　していただく。
 
　　2)「共通ポータルデザイン設定」「組織ポータルデザイン設定」及び各ユーザーの「個人ポータル
　　　デザイン設定」にて、ポータルに「ブックマーク」コンテンツを表示させないようしていた
　　　だく。
　　　※恐れ入りますが現行「個人ポータルデザイン設定」のポータル設定を一括で変更する機能
　　　　及び、「ブックマーク」コンテンツ自体を選択不能にする機能は未提供となります。
 
　　3)グループウェア管理者権限を持つユーザーを把握いただき、管理者権限を持つユーザーを
　　　再検討の上で一般ユーザーに変更する等、共有ブックマークへの変更を行わせるユーザーを
　　　最小限に絞っていただく。
 
　　　※確認方法
　　　　管理者設定 > 運用設定 > ユーザー設定 > ユーザー情報のエクスポート　にて
　　　　「エクスポート対象」を「(すべて)」としていただきエクスポートいただく事で
　　　　「user.csv」ファイルがダウンロードいただけます。
　　　　この「user.csv」ファイルを開いていただき「ユーザーレベル」が「管理者」と
　　　　設定されているユーザーが管理者権限を持つユーザーとなります。
 
　　4)管理者権限を持つユーザーに対し適切なパスワードを設定いただき、第三者からのログイン
　　　を容易に行わせないようにしていただく。

弊社における対応

　・弊社においてはdesknet’sNEO製品版の対応とは異なり、専用のセキュリティパッチ（改修プログラム）の
　　提供を受ける予定です。
　　現状では2月ごろに提供を受ける予定でおりますが、本件については日程等が決まり次第、あらためて
　　停止（臨時）メンテナンスの有無等を含め、お知らせさせて頂きます。

対応履歴
　2020年12月 8日　掲載　
　2021年12月14日　対応済みの記載を追加