Skip to main content

 

 

 

Template:OutSystems/Documentation_KB/Breadcrumb_New_Layout

 

Template:OutSystems/OSLanguageSwitcher
Language:

 

 

 

 

 
OutSystems

脆弱性RLIT-2388

--

--

概要

OutSystemsは、Service CenterとLifeTimeで脆弱性を認識しました。OutSystemsはCVSS 3.0評価システムを使用して、すべてのサポート対象のスタックのクラウドプラットフォームでのデプロイとオンプレミスプラットフォームでのデプロイについて、この脆弱性の影響とリスクを評価および分類しました。

この記事の情報により、システムがさらされるリスクのレベルを確認し、脅威を軽減するために必要な対応を確認することができます。

テクノロジースタック

この脆弱性は、すべてのサポート対象のプPlatform Serverスタックに影響を及ぼします。

脆弱性リスク

基本値: 7.1(高)

ベクトル文字列: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

通知

プロセスに含まれる各段階、通知の方法とタイミングについて理解するには、こちらの記事をご覧ください。

  • 非公開段階: この脆弱性は、2019年5月14日にすべてのユーザーに初めて通知されました。
  • 情報開示: この脆弱性の詳細は、すべて2019年8月に開示されました。

脆弱性の詳細

Service CenterとLifeTimeの一部のページは、認証されていないアクセスから適切に保護されていませんでした。このため、攻撃者が特定のパラメータやモバイルアプリケーションのコンパイル構成にアクセスすることが可能でした。

OutSystemsプラットフォームを保護する

OutSystems Cloud

OutSystemsはCloudユーザーに通知し、影響を受けるすべてのクラウドインフラで更新またはパッチの適用を行いました。

環境にパッチを適用する場合は、Platform Serverのバージョンをアップグレードする必要はありません。

オンプレミス環境

OutSystemsは、この脆弱性に対応するPlatform Serverの新しいリリースを公開しました。Platform Serverをまだ更新していないすべてのユーザーは、更新することを強く推奨します。

OutSystems 10

この脆弱性は、バージョン10.0.1005.2以降のすべてのバージョンで修正されています。

OutSystems 11

この脆弱性は、バージョンRelease Jan.2019 CP2 以降のすべてのバージョンで修正されています。

回避策

オンプレミス環境の場合は、Platform Serverの更新を強く推奨します。更新を行う機会がない場合は、内部ネットワークの構成を有効にして、Service CenterとLifeTimeへのアクセスを信頼できるIPのみに制限することを推奨します。

よくある質問

質問 回答
この脆弱性を悪用することによって、攻撃者はデータにアクセスできますか? いいえ。この脆弱性を悪用することによって、攻撃者はデータの完全性や可用性を侵害できますが、機密性を侵害することはできません。
この脆弱性は実際に悪用されたことがありますか? OutSystemsは、この脆弱性が実際に悪用されたり、ユーザーがその影響を受けたりしたという証拠を把握していません。
必要な作業は何ですか? OutSystems Platform Serverを上記の該当するバージョンに更新してください。
OutSystemsは、この脆弱性に関する詳細を公開しますか? 公開できる詳細はすべてこの記事ですでに開示されています。
この件については誰に相談すればよいでしょうか? ご質問がある場合は、カスタマーサクセスマネージャーにお問い合わせください。カスタマーサクセスマネージャーがいない場合は、サポートチャネルからお問い合わせください。
  • Was this article helpful?