Proself の脆弱性対策について

注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

株式会社ノースグリッドが提供する Proself は、オンラインストレージ構築パッケージです。

Proself には、認証バイパスおよびリモートコード実行の脆弱性が存在します。

2023年7月20日に、同社より本脆弱性情報が公開されましたが、本脆弱性について、確認できていない利用組織の方々が存在している可能性を考慮し、本緊急対策を公開しております。

本脆弱性を悪用する攻撃がすでに確認されており、今後被害が拡大する可能性があるため、製品開発者が提供する最新の情報をご確認の上、修正バージョンが公開されている場合は、早急にアップデートを実施してください。

影響を受けるシステム

• Proself の全てのバージョン

対策

1.脆弱性の解消 - 修正プログラムの適用

開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
なお、サポートが終了している製品では脆弱性を修正するバージョンのリリースは行われないとのことです。

• Proself Enterprise Edition Ver5.62
  
• Proself Standard Edition Ver5.62

--- 2023年 8 月 16 日更新 ---

• Proself Gateway Edition Ver1.65

--- 2023年 8 月 22 日更新 ---

• Proself Mail Sanitize Edition Ver1.08

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

• [至急]Proselfのゼロディ脆弱性による攻撃発生について(更新)
• Proselfのゼロディ脆弱性への対応バージョンに関する補足

--- 2023年 8 月 16 日更新 ---

• アップデート

2.脆弱性の暫定的な回避策

開発者によると、アップデートを適用できない場合には、Proself インストールフォルダの以下ファイルを Proself とは関係のない場所に移動、または削除することで、本脆弱性の影響を軽減することが可能とのことです。

Proself インストールフォルダ/webapps/proself/WEB-INF/xml/process/external/admin 配下の以下2ファイル

• downloadhistory.xml
• setclustermyid.xml