HOMEソフトウェア高信頼化事業内容のご案内事業に関連するお知らせEPM-Xにおける脆弱性の公表と提供・サポートの終了について

本文を印刷する

ソフトウェア高信頼化

EPM-Xにおける脆弱性の公表と提供・サポートの終了について

2017年7月3日更新
2017年5月19日公開
独立行政法人情報処理推進機構
技術本部 ソフトウェア高信頼化センター

 定量的プロジェクト管理ツール(EPM-X)にクロスサイト・スクリプティングおよび任意DLL読込みの脆弱性が存在することが判明しました。
 この脆弱性を悪用された場合、第三者によりEPM-Xに悪意のあるJavaScriptが埋め込まれ、EPM-X利用者のコンピュータ上のブラウザでJavaScriptが実行されてしまう可能性があります。また、第三者により悪意のあるDLLファイルが格納され、EPM-Xのインストール時にそのコードが実行されてしまう可能性があります。

 現在、EPM-Xの提供およびサポートは終了しています。EPM-Xの使用を中止していただきますようお願いいたします。

脆弱性の説明

 クロスサイト・スクリプティングについては、EPM-Xに、悪意のあるスクリプトが埋め込まれることにより、EPM-X利用者のブラウザでそれが実行される可能性があります。 任意DLL読込みについては、EPM-Xのインストーラが実行される際に、何らかの手段により格納された悪意のあるコードが含まれるDLLを読み込んでしまい、それが実行される可能性があります。

脆弱性がもたらす脅威

 クロスサイト・スクリプティングについては、悪意のある第三者によって、EPM-X利用者のコンピュータに偽のページが表示されたり、そのコンピュータ上の個人情報が攻撃者に送られたりする可能性があります。
 任意DLL読込みについては、悪意のある第三者によって、EPM-Xのインストーラを実行したサーバ・コンピュータ上で、正常な動作を妨害する等の任意のコードが実行される可能性があります。

対策方法

 EPM-Xを使用しないでください。また、既にダウンロードしているEPM-Xのインストーラは使用しないでください。
 EPM-Xの開発および提供・サポートは終了しています。また、今後本脆弱性の対策版を提供する予定はありません。
 EPM-XおよびEPM-Xとともにインストールした以下のオープンソースソフトウェアはアンインストールし、コンピュータから削除してください。

 ○Redmine 1.2.1
 ○Trac 0.12.2
 ○Apache 2.2
 ○PostgreSQL 8.4.9
 ○Ruby 1.8.7
 ○Subversion 1.6
 ○GIT 1.7
 ○JRE 6
 ○Tomcat 6
 ○BIRT Report Viewer 3.7
 ○Pentaho Data Integration 4.1

関連情報

 JVN#85512750 定量的プロジェクト管理ツールにおけるクロスサイトスクリプティングの脆弱性
 JVN#11326581 定量的プロジェクト管理ツールにおけるクロスサイトスクリプティングの脆弱性
 JVN#12493656 定量的プロジェクト管理ツールのインストーラにおける任意の DLL 読み込みに関する脆弱性

 ソフトウェア開発プロジェクトの現場で役立つ実践的プロジェクトマネジメントの普及/運用支援、関連情報の提供を行っている一般社団法人実践的プロジェクトマネジメント推進協会(PPMA)*が、EPM-Xの後継ツール(有償)の紹介をしていますので参考にしてください。
* http://ppma.jp/別ウィンドウで開く

ご注意

IPAを騙った偽メールにご注意ください。
本脆弱性に関し以下に記載する以外のメールは、IPAから送付することは一切ありません。
そのようなメールを受信した際はIPAにお知らせください。

---------以下、IPAからの正規の「メールニュース」--------
件名:IPA脆弱性情報:「定量的プロジェクト管理ツール」における脆弱性/「定量的プロジェクト管理ツール」のインストーラにおける脆弱性
配信元:電話番号:03-5978-7503までお問い合わせください。
配信日:2017年5月19日
-----------------------------------------------------------------
件名:IPAからのお知らせ【セキュリティ対策情報/「定量的プロジェクト管理ツール」における脆弱性/「定量的プロジェクト管理ツール」のインストーラにおける脆弱性】
配信元:電話番号:03-5978-7503までお問い合わせください。
配信日:2017年5月19日
-----------------------------------------------------------------
件名:IPA/SECからのお知らせ[EPM-Xにおける脆弱性の公表と提供・サポートの終了について]
配信元:電話番号:03-5978-7503までお問い合わせください。
配信日:2017年5月19日
-----------------------------------------------------------------
件名:SECメルマガ 第131号 2017.5.31
配信元:電話番号:03-5978-7503までお問い合わせください。
配信日:2017年5月31日
-----------------------------------------------------------------
件名:SECメルマガ 第132号 2017.6.30
配信元:電話番号:03-5978-7503までお問い合わせください。
配信日:2017年6月30日
-----------------------------------------------------------------

あわせてIPAからのメールは、こちらの(電子署名付きメール)方法で確認してください。

連絡先

・本件に関するお問い合わせ
 IPA 技術本部ソフトウェア高信頼化センター システムグループ 山下
 Tel: 03-5978-7543 E-mail: 電話番号:03-5978-7543までお問い合わせください。

 なお、本件に関する報道機関からのお問い合わせは、広報グループまでご連絡ください。
 Tel: 03-5978-7503 E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2017年5月30日 IPAからの正規の「メールニュース」の情報を追加しました。
2017年7月3日 IPAからの正規の「メールニュース」の情報を追加しました。