Skip to main content

 

 

 

 
Language:
 
 
 
OutSystems

脆弱性RPD-2322

概要

OutSystemsは脆弱性を認識しました。この脆弱性を悪用する攻撃者によって、OutSystemsプラットフォームで処理および保存されたデータの機密性、可用性、完全性が侵害されるおそれがあります。

OutSystemsは、この脆弱性が実際に悪用されたと確信できる兆候や根拠を把握していません。

テクノロジースタック

この脆弱性は、すべてのサポート対象のプラットフォームのスタックに影響を及ぼします。

通知

プロセスに含まれる各段階、通知の方法とタイミングについて理解するには、こちらの記事をご覧ください。

  • 非公開段階: この脆弱性は、2018年1月15日にすべてのユーザーに初めて通知されました。
  • 情報開示: この脆弱性の詳細は、すべて開示されました。

脆弱性の詳細

Service Center APIエンドポイントの1つでセキュリティ上の欠陥が特定されました。この欠陥により、認証されていないユーザーがネットワークを利用してService Centerにアクセスし、ドキュメントに記載されていない内部用のPingAddress APIエンドポイントを使用して、任意のアドレスに対するHTTP GETリクエストを実行するようプラットフォームに指示することが可能です。攻撃者がこの欠陥を悪用すると、Service Centerをプロキシとして使用し、ソースIPアドレスを隠しながら任意のアドレスに対するHTTPリクエストを実行することが可能です。極端な場合、この欠陥によってアプリケーションサーバーがクラッシュし、プラットフォームが利用できなくなるおそれがあります。

OutSystemsプラットフォームを保護する

OutSystems Cloud

OutSystemsは、バージョンをアップグレードせずにPaaSインフラにパッチを適用し、パッチを適用できなかったインフラのユーザーのみにアップグレードを通知しました。

オンプレミス環境

OutSystemsは、この脆弱性に対応するPlatform Serverの新しいリリースを公開しました。 Platform Serverをまだ更新していないすべてのユーザーは、更新することを強く推奨します。

OutSystems 9.1

この脆弱性は、Platform Serverバージョン9.1.609.0以降のすべてのリリースで修正されています。

OutSystems 10

この脆弱性は、Platform Serverバージョン10.0.603.0以降のすべてのリリースで修正されています。

OutSystems 11

OutSystems 11は影響を受けませんでした。

回避策

オンプレミス環境の場合、内部ネットワーク機能を使用し、Service Centerへのアクセスを信頼できるネットワークに制限することができます。

OutSystems PaaSインフラの場合、回避策は必要ありません。このインフラはすべてパッチが適用されて保護されているためです。

よくある質問

質問 回答
この脆弱性を悪用することによって、攻撃者はデータにアクセスできますか? はい。この脆弱性を悪用することによって、攻撃者はOutSystemsプラットフォームで保存されたすべてのデータに完全にアクセスできるようになります。
この脆弱性は実際に悪用されたことがありますか? OutSystemsは、この脆弱性が実際に悪用されたり、ユーザーがその影響を受けたりしたという証拠を把握していません。
必要な作業は何ですか? OutSystemsプラットフォームを上記の該当するバージョンに更新してください。Cloudユーザーの場合は、OutSystemsによってホットフィックス(影響やダウンタイムなし)が適用されます。
OutSystemsは、この脆弱性に関する詳細を公開しますか?ユーザーを保護するために、OutSystemsは2020年5月より前に、この脆弱性に関する詳細を提供しません。
この件については誰に相談すればよいでしょうか? ご質問がある場合は、カスタマーサクセスマネージャーにお問い合わせください。カスタマーサクセスマネージャーがいない場合は、サポートチャネルからお問い合わせください。
  • Was this article helpful?