Skip to main content

 

 

 

 

Template:OutSystems/Documentation_KB/Breadcrumb_New_Layout

 

 

Template:OutSystems/OSLanguageSwitcher

 

 

 

OutSystems

2018-01-15 - セキュリティの問題 - PingAddressで認証されていないアクセスが許可される

概要

OutSystemsは、Service Center APIエンドポイントの1つでセキュリティ上の欠陥を特定しました。

そして、クラウドデプロイ、オンプレミスデプロイ、およびすべてのサポート対象のスタックについて、この脆弱性の影響を評価しました。この記事の情報により、システムがさらされるリスクのレベルと、脅威を軽減するために必要な対応を確認することができます。

テクノロジースタック

この脆弱性は、すべてのサポート対象のプラットフォームのスタックに影響を及ぼします。

オンプレミス環境の修正方法

OutSystemsは、すべてのサポート対象のプラットフォーム向けの新しいバージョンを公開しました。

この修正は、9.1.609.0および10.0.603.0以降のバージョンで利用できます。プラットフォームインスタンスをまだ更新していないすべてのユーザーは、更新することを強く推奨します。

OutSystems Cloud

OutSystemsは、バージョンをアップグレードせずにPaaSインフラにパッチを適用し、パッチを適用できなかったインフラのユーザーのみにアップグレードを通知しました。

 

この脆弱性の詳細

このセキュリティ上の欠陥により、認証されていないユーザーがネットワークを利用してService Centerにアクセスし、ドキュメントに記載されていない内部用のPingAddress APIエンドポイントを使用してプラットフォームに指示し、任意のアドレスに対するHTTP GETリクエストを実行させることが可能です。攻撃者がこの欠陥を悪用すると、Service Centerをプロキシとして使用し、ソースIPアドレスを隠しながら任意のアドレスに対するHTTPリクエストを実行することが可能です。極端な場合、この欠陥によってアプリケーションサーバーがクラッシュし、プラットフォームが利用できなくなる可能性があります。

オンプレミスユーザー向けの回避策

オンプレミス環境向けの回避策として、内部ネットワーク機能を使用し、Service Centerへのアクセスを信頼できるネットワークに制限することができます。