脆弱性RPD-5160
概要
OutSystemsは脆弱性を認識しました。この脆弱性を悪用する攻撃者によってことで、Platform Serverで処理および保存されたデータの機密性、可用性、完全性が侵害されるおそれがあります。
OutSystemsは、この脆弱性が実際に悪用されたと確信できる兆候や根拠を把握していません。
テクノロジースタック
この脆弱性は、すべてのサポート対象のプPlatform Serverスタックに影響を及ぼします。
通知
プロセスに含まれる各段階、通知の方法とタイミングについて理解するには、こちらの記事をご覧ください。現在、この脆弱性は非公開段階です。
- 非公開段階: この脆弱性は、7月27日にすべてのユーザーに初めて通知されました。2020
- 情報開示: この脆弱性の詳細は、すべて2020年10月に開示される予定です。
脆弱性の詳細
この脆弱性は、まだ非公開段階です。OutSystemsは、2020年10月に初めて詳細を開示する予定です。
OutSystemsインストールを保護する
この脆弱性から保護するために必要なアクションは、デプロイモデル(OutSystems Cloudまたは自己管理型)やバージョンによって異なる場合があります。ご利用の環境に適用されるアクションについては、以下のセクションをご覧ください。
OutSystems Cloud
OutSystemsはすべてのCloudユーザーに通知し、各ユーザーの特定のバージョンを対象としたホットフィックス(ダウンタイムなし)を適用します。ホットフィックスの場合は、Platform Serverのバージョンを更新する必要がありません。
自己管理型環境
OutSystemsは、この脆弱性に対応するPlatform Serverの新しいバージョンを公開しました。 Platform Serverをまだ更新していないすべてのユーザーは、更新することを強く推奨します。
OutSystems 10
この脆弱性に対応するPlatform Server10.0.1102.0を公開します。 Platform Server 10.0.1102.0以降のバージョンは、すべて保護されるようになります。
OutSystems 11
Platform Serverリリース11.9.0で、この脆弱性に対応する予定です。このバージョンは、2020年8月10日に利用できるようになる見込みです(詳細)。 Platform Server 11.9.0以降のバージョンは、すべて保護されるようになります。
回避策
回避策はありません。上記のバージョンに更新することを強く推奨します。
よくある質問
| 質問 | 回答 |
|---|---|
| この脆弱性を悪用することによって、攻撃者はデータにアクセスできますか? | はい。この脆弱性を悪用することによって、攻撃者はOutSystemsプラットフォームで保存されたすべてのデータに完全にアクセスできるようになります。 |
| この脆弱性は実際に悪用されたことがありますか? | OutSystemsは、この脆弱性が実際に悪用されたり、ユーザーが影響を受けたりしたという証拠を把握していません。 |
| 必要な作業は何ですか? | OutSystems Platform Serverを上記の該当するバージョンに更新してください。Cloud環境の場合は、OutSystemsによって環境にパッチが適用されます。 |
| この件については誰に相談すればよいでしょうか? | ご質問がある場合は、カスタマーサクセスマネージャーにお問い合わせください。カスタマーサクセスマネージャーがいない場合は、サポートチャネルからお問い合わせください。 |