2019-05-14 - セキュリティの問題 - ECTプロバイダのリモートコード実行
概要
2019年2月、OutSystemsはECTプロバイダプラットフォームコンポーネントで脆弱性を認識しました。OutSystemsはCVSS 3.0評価システムを使用して、すべてのサポート対象のスタックのクラウドプラットフォームでのデプロイとオンプレミスプラットフォームでのデプロイについて、この脆弱性の影響とリスクを評価および分類しました。
この記事の情報により、システムがさらされるリスクのレベルを確認し、脅威を軽減するために必要な対応を特定することができます。
テクノロジースタック
この脆弱性は、すべてのサポート対象のプラットフォームのスタックに影響を及ぼします。
オンプレミス環境の修正方法
OutSystemsは、この脆弱性に対応するプラットフォームの新しいバージョンを公開しました。
OutSystems 10
この脆弱性は、バージョン10.0.1005.2以降のすべてのバージョンで修正されています。
OutSystems PaaS(Cloud)ユーザーの場合、10.0.1005.1以降のすべてのバージョンにセキュリティ修正を適用済みです。
OutSystems 11
この脆弱性は、バージョン11.0.212.0以降のすべてのバージョンで修正されています。
OutSystems PaaS(Cloud)ユーザーの場合、すべてのO11バージョンにセキュリティ修正を適用済みです。
プラットフォームインスタンスをまだ更新していないすべてのユーザーは、更新することを強く推奨します。
オンプレミスユーザー向けの回避策
プラットフォームのアップグレードを強く推奨します。アップグレードを行う機会がない場合は、すべてのeSpaceでECTプロバイダコンポーネントを無効にすることを推奨します。
OutSystems Cloud
OutSystemsはクラウドユーザーに通知し、すべてのサポート対象のクラウドインフラで更新またはパッチの適用を行いました。
環境にパッチを適用する場合は、Platform Serverのバージョンをアップグレードする必要はありません。
この脆弱性の詳細
この脆弱性は、ECTプロバイダコンポーネント内にあります。認証されていない攻撃者が、このコンポーネントによって提供されるエンドポイントを利用して任意のJavaScriptコードを挿入することができます。これにより、ECTプロバイダのユーザーがWebブラウザを使用してApp FeedbackアプリケーションのECTプロバイダのバックオフィスにアクセスしたときに、そのコードを実行させることが可能です。場合によっては、挿入されたコードがOutSystemsプラットフォームの高い権限で実行されます。
この脆弱性は、Mina Edwar氏により報告されました。