Skip to main content

 

2019-05-14 - セキュリティの問題 - ServiceCenterおよびLifetimeの認証の回避

 

OutSystems

2019-05-14 - セキュリティの問題 - ServiceCenterおよびLifetimeの認証の回避

概要

2019年2月、OutSystemsはServiceCenterとLifeTimeで脆弱性を認識しました。OutSystemsはCVSS 3.0評価システムを使用して、すべてのサポート対象のスタックのクラウドプラットフォームでのデプロイとオンプレミスプラットフォームでのデプロイについて、この脆弱性の影響とリスクを評価および分類しました。

この記事の情報により、システムがさらされるリスクのレベルを確認し、脅威を軽減するために必要な対応を確認することができます。

テクノロジースタック

この脆弱性は、すべてのサポート対象のプラットフォームのスタックに影響を及ぼします。

脆弱性リスク

この脆弱性は、すべてのサポート対象のプラットフォームのスタックに影響を及ぼします。

基本値: 7.1(高)

ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

オンプレミス環境の修正方法

OutSystemsは、この脆弱性に対応するプラットフォームの新しいバージョンを公開しました。

OutSystems 10

この脆弱性は、バージョン10.0.1005.2以降のすべてのバージョンで修正されています。

OutSystems PaaS(Cloud)ユーザーの場合、10.0.1005.1以降のすべてのバージョンにセキュリティ修正を適用済みです。

OutSystems 11

この脆弱性は、バージョン11.0.212.0以降のすべてのバージョンで修正されています。

OutSystems PaaS(Cloud)ユーザーの場合、すべてのO11バージョンにセキュリティ修正を適用済みです。

プラットフォームインスタンスをまだ更新していないすべてのユーザーは、更新することを強く推奨します。
;

OutSystems Cloud

OutSystemsはクラウドユーザーに通知し、すべてのサポート対象のクラウドインフラで更新またはパッチの適用を行いました。

環境にパッチを適用する場合は、Platform Serverのバージョンをアップグレードする必要はありません。 ;

オンプレミスユーザー向けの回避策

プラットフォームのアップグレードを強く推奨します。アップグレードを行う機会がない場合は、内部ネットワーク機能を有効にして、ServiceCenterとLifeTimeへのアクセスを信頼できるIPのみに制限することを推奨します。

この脆弱性の詳細

ServiceCenterとLifeTimeの一部のページは、認証されていないアクセスから適切に保護されていませんでした。このため、攻撃者が特定のパラメータやモバイルアプリケーションのコンパイル構成にアクセスすることが可能でした。