1つ上へ
  ヘルプの目次
 印刷
  FirstClassインターネットサービスの脆弱性に関するご説明  


 Windows Server 2003上でFirstClassインターネットサービスを稼動させている場合の、HTTPセッションキーの重複による脆弱性が報告されています。



脆弱性の概要
グループウェアFirstClassのインターネットサービスには、HTTPセッションキーの重複により、ログインしているユーザのコンテキストを区別できなくなる脆弱性が存在します。

影響を受けるシステム
下記の「3つすべて」に当てはまるお客様は、本脆弱性の影響を受ける可能性がございます。
OS: Windows Server 2003 シリーズすべて
FirstClass: インターネットサービス 8.3 build 8.282以前 または 9.0 build 8.923以前 (※)
サービス: HTTPによるWeb上からの認証(ログイン)を許可していること

Windows 2000 Server、Mac OS XおよびLinux上でFirstClassインターネットサービス8.3を動作させているお客様、上記以外のバージョンのインターネットサービスをご利用されているお客様は本セキュリティ問題による影響はございません。

※ FirstClass 9.0は開発元より英語版がリリースされておりますが、弊社からの日本国内向けのリリースは本情報の公開時点ではまだ行なっておりません。

詳細情報
影響を受けるシステム上で、HTTPでのログイン時に一意に発行されるべきセッションキー(Cookie)が重複して発行されてしまう恐れがあります。万一これが発生した場合、HTTPでログイン中のユーザ間でデスクトップなど他のユーザに固有の情報を参照できてしまう可能性があります。
HTTPによるログインを行っていないユーザ(クライアントソフトや一般のメールソフトのみを使用し、Webブラウザでのログインを行わないユーザ、または本脆弱性の原因となる現象の発生時点でWebブラウザでログインしていないユーザ)に関するユーザ固有の情報については、本脆弱性の影響を受けません。

想定される影響
Webブラウザによるログインを許可していないサイトは、本脆弱性の影響を受けません。
アカウント発行を組織の構成員などに限定しているサイトでは、本脆弱性を利用できる者がサイトの正規のアカウントを持っている者に限定されるため、中程度の危険性があると認識しております。
ゲストIDなど不特定多数に使用させるアカウントを設けているサイトでは、不特定の者による正規アカウントの情報閲覧による組織外への情報漏えいなど、高い危険性があると認識しております。

対策方法
(1)対策
■パッチ
弊社Webサイトで配布されている「FirstClass 8.3向けサービスパック1+++」にアップデートしてください。

FirstClass 8.3向けサービスパック1+++ 配布ページ

上記アップデートを行なっていただいたお客様は以下の回避策を取る必要はございません。

(2)回避策
すぐにアップデートを適用できないお客様は、下記の応急対処により問題が発生する可能性を低減することが可能ですが、その場合でもadminなど権限の高いユーザのWebからのログインは控えられることをお勧めいたします。ゲストIDなど不特定多数に使用させるアカウントを設けているサイトではゲストIDの停止などの措置を取ってください。また、この対応を行なった場合、携帯電話からのログインができなくなる場合がございます。
1.クライアントソフトを用いて、サーバにadminでログインしてください。
2.デスクトップ上の、Internet Services > Advanced Web & Filesを開いてください。
3.[ブラウザでログインしているユーザのIPアドレス変更を許可しない]にチェックが入っていない場合にはチェックを入れ、[OK]をクリックしてください。
4.デスクトップ上の、Internet Services > Internet Monitorを開いてください。
5.[コントロール]タブ内の[設定の再読み込み]をクリックしてください。

また、事情が許す場合には下記の方法でHTTPでのログインを一時的に禁止することで問題を回避することが可能です。
1.クライアントソフトを用いて、サーバにadminでログインしてください。
2.デスクトップ上の、Internet Services > Multiple Sites & Languagesを開いてください。
3.各[エイリアス名]欄の先頭に半角で!を追加してください。(例:Main Siteと入っている場合には!Main Siteと変更してください)
4.デスクトップ上の、Internet Services > Internet Monitorを開いてください。
5.[コントロール]タブ内の[設定の再読み込み]をクリックしてください。