定量プロジェクト管理ツール(EPM-X)に脆弱性が存在することが判明したため、EPM-Xの提供およびサポートは、2017年5月19日をもって終了いたしました。また、今後、本脆弱性に対応したEPM-Xの提供予定はありません。EPM-Xを使用されている方は、使用を中止してください。
※脆弱性の詳細については、以下の内容をご確認ください。
脆弱性の説明
クロスサイト・スクリプティングについては、EPM-Xに、悪意のあるスクリプトが埋め込まれることにより、EPM-X利用者のブラウザでそれが実行される可能性があります。 任意DLL読込みについては、EPM-Xのインストーラが実行される際に、何らかの手段により格納された悪意のあるコードが含まれるDLLを読み込んでしまい、それが実行される可能性があります。
脆弱性がもたらす脅威
クロスサイト・スクリプティングについては、悪意のある第三者によって、EPM-X利用者のコンピュータに偽のページが表示されたり、そのコンピュータ上の個人情報が攻撃者に送られたりする可能性があります。
任意DLL読込みについては、悪意のある第三者によって、EPM-Xのインストーラを実行したサーバ・コンピュータ上で、正常な動作を妨害する等の任意のコードが実行される可能性があります。
対策方法
EPM-Xを使用しないでください。また、既にダウンロードしているEPM-Xのインストーラは使用しないでください。
EPM-Xの開発および提供・サポートは終了しています。また、今後本脆弱性の対策版を提供する予定はありません。
EPM-XおよびEPM-Xとともにインストールした以下のオープンソースソフトウェアはアンインストールし、コンピュータから削除してください。
○Redmine 1.2.1
○Trac 0.12.2
○Apache 2.2
○PostgreSQL 8.4.9
○Ruby 1.8.7
○Subversion 1.6
○GIT 1.7
○JRE 6
○Tomcat 6
○BIRT Report Viewer 3.7
○Pentaho Data Integration 4.1
関連情報
JVN#85512750 定量的プロジェクト管理ツールにおけるクロスサイトスクリプティングの脆弱性
JVN#11326581 定量的プロジェクト管理ツールにおけるクロスサイトスクリプティングの脆弱性
JVN#12493656 定量的プロジェクト管理ツールのインストーラにおける任意の DLL 読み込みに関する脆弱性
連絡先
・本件に関するお問い合わせ
IPA 社会基盤センター 山下
Tel: 03-5978-7543 E-mail: 
なお、本件に関する報道機関からのお問い合わせは、広報グループまでご連絡ください。
Tel: 03-5978-7503 E-mail: 
更新履歴
| 2017年5月30日 | IPAからの正規の「メールニュース」の情報を追加しました。 |
|---|---|
| 2017年7月3日 | IPAからの正規の「メールニュース」の情報を追加しました。 |
| 2017年7月31日 | IPAからの正規の「メールニュース」の情報を追加しました。 |
| 2019年10月11日 | IPAからの正規の「メールニュース」情報を削除しました。 赤枠内のお知らせを更新しました。 |