Skip to main content

 

 

 

 
Language:

 

 
 
 
OutSystems

脆弱性RLIT-3368

概要

OutSystemsは脆弱性を認識しました。この脆弱性を悪用する攻撃者によって、OutSystemsプラットフォームで処理および保存されたデータの機密性、可用性、完全性が侵害されるおそれがあります。

OutSystemsは、この脆弱性が実際に悪用されたと確信できる兆候や根拠を把握していません。

テクノロジースタック

この脆弱性は、すべてのサポート対象のプPlatform Serverスタックに影響を及ぼします。

脆弱性リスク

基本値: 9.1(重大)

ベクトル文字列: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

通知

プロセスに含まれる各段階、通知の方法とタイミングについて理解するには、こちらの記事をご覧ください。

  • 非公開段階: この脆弱性は、2020年3月13日にすべてのユーザーに初めて通知されました。

  • 情報開示: この脆弱性の詳細は、すべて2020年5月29日に開示されました。

脆弱性の詳細

OutSystems Service Centerには、ソート条件を介して悪用されるおそれがあるSQLインジェクションの脆弱性が含まれていました。これにより、認証されたService Centerユーザーは、このソート条件を使用することで、データベースに存在するすべてのデータの可用性、完全性、機密性を全体的に侵害できます。

OutSystemsプラットフォームを保護する

OutSystems Cloud

OutSystemsはすべてのCloudユーザーに通知し、各ユーザーの特定のバージョンを対象としたホットフィックス(影響やダウンタイムなし)を適用しました。

オンプレミス環境

OutSystemsは、この脆弱性に対応するPlatform Serverの新しいバージョンを公開しました。

OutSystems 10

OutSystemsは、この脆弱性に対応するPlatform Serverバージョン10.0.1023.0を公開しました。 Platform Serverバージョン10.0.1023.0以降のバージョンは、すべてこの脆弱性の影響を受けなくなります。

OutSystems 11

OutSystemsは、この脆弱性に対応するPlatform Serverバージョン11.7.3を公開しました。

Platform Serverバージョン11.7.3以降のバージョンは、すべて保護されるようになります。

回避策

回避策はありません。上記の該当するバージョンに更新することを強く推奨します。

よくある質問

質問 回答
この脆弱性を悪用することによって、攻撃者はデータにアクセスできますか? はい。この脆弱性を悪用することによって、攻撃者はOutSystemsプラットフォームで保存されたすべてのデータに完全にアクセスできるようになります。
この脆弱性は実際に悪用されたことがありますか? OutSystemsは、この脆弱性が実際に悪用されたり、ユーザーがその影響を受けたりしたという証拠を把握していません。
必要な作業は何ですか? OutSystemsプラットフォームを上記の該当するバージョンに更新してください。Cloudユーザーの場合は、OutSystemsによってホットフィックス(影響やダウンタイムなし)が適用されます。
OutSystemsは、この脆弱性に関する詳細を公開しますか?ユーザーを保護するために、OutSystemsは2020年5月より前に、この脆弱性に関する詳細を提供しません。
この件については誰に相談すればよいでしょうか? ご質問がある場合は、カスタマーサクセスマネージャーにお問い合わせください。カスタマーサクセスマネージャーがいない場合は、サポートチャネルからお問い合わせください。
  • Was this article helpful?