RSSフィードについて

RSSリーダーで、フォーラムの新着投稿情報がチェックできます。
詳しくは下記ページを参照して下さい。

RSSフィード  RSSフィードについて

ご自由に情報交換の場として御利用ください。
また質問の前には「回答を得るには?」を参照してください。


GroupSessionへの要望があれば参考にさせていただきます。
要望リストも参考にしてください。


 
フォーラム  フォーラム
99_その他フォーラム
スレッド  タイトル

閲覧できてはいけない添付ファイルが任意に取得できる


[ 5858 ] 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: SBモバイル
投稿日時:  2014/06/06 10:23:16


動作環境:CentOS 6.3
GSバージョンは4.2.6
JDK 1.7.45
Apache 2.2
tomcat 7.0.42

一部門で情報共有目的で利用していましたが、
昨日、弊社社内SEから重大な欠陥の報告を受け現在運用を停止しています。

■欠陥内容
閲覧できてはいけない添付ファイルが任意に取得できる。

これは何を意味するかと言うと、例えばメールの添付ファイルがメールに関係のないユーザに取得されてしまうということです。
実際に任意のユーザでログインして下記URLの12345の部分を任意の数字を入れるとファイルがダウンロードされました。
見てはいけないものが出ると困るので検証は数回でやめました。
http://サーバのIP/gsession/smail/sml010.do?CMD=getPhotoFile&photoFileSid=12345

掲示板に添付されているファイルも取得できているので機能に関係なくGS全ての添付ファイルが取得できるのだと思います。
これは重大な欠陥であり、しかも、最悪なのがアプリケーションログにダウンロードしたことが残らないので、どのファイルが盗まれたか特定できません。※弊社ではこれが問題視

現象を確認したのはバージョン4.2.6ですが、おそらく過去のバージョン全てに当てはまると思います。

このフォーラムへバグ情報を書き込みするのもどうかと思いましたが、運用管理している立場としては大至急修正版のリリースをお願いしたいので書かせていただきました。
出来ればパッチ提供時期を告知して欲しいです。それでもこのフォーラムには回答してくれないのでしょうか。(←GS開発の人)

クラウドサービスを利用されている方は大丈夫なのでしょうか?
利用されている方は一度確認してみた方が良いと思いますよ。
早期対応を切に願っています。
  引用返信
[ 5859 ] Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: のりのり
投稿日時:  2014/06/06 12:31:57
Ver 4.1.3 でも確認できました。(ショートメールだけですけど)
確かに取得できてしまいます。
対応をお願いいたします。

>
>
> 動作環境:CentOS 6.3
> GSバージョンは4.2.6
> JDK 1.7.45
> Apache 2.2
> tomcat 7.0.42
>
> 一部門で情報共有目的で利用していましたが、
> 昨日、弊社社内SEから重大な欠陥の報告を受け現在運用を停止しています。
>
> ■欠陥内容
> 閲覧できてはいけない添付ファイルが任意に取得できる。
>
> これは何を意味するかと言うと、例えばメールの添付ファイルがメールに関係のないユーザに取得されてしまうということです。
> 実際に任意のユーザでログインして下記URLの12345の部分を任意の数字を入れるとファイルがダウンロードされました。
> 見てはいけないものが出ると困るので検証は数回でやめました。
> http://サーバのIP/gsession/smail/sml010.do?CMD=getPhotoFile&photoFileSid=12345
>
> 掲示板に添付されているファイルも取得できているので機能に関係なくGS全ての添付ファイルが取得できるのだと思います。
> これは重大な欠陥であり、しかも、最悪なのがアプリケーションログにダウンロードしたことが残らないので、どのファイルが盗まれたか特定できません。※弊社ではこれが問題視
>
> 現象を確認したのはバージョン4.2.6ですが、おそらく過去のバージョン全てに当てはまると思います。
>
> このフォーラムへバグ情報を書き込みするのもどうかと思いましたが、運用管理している立場としては大至急修正版のリリースをお願いしたいので書かせていただきました。
> 出来ればパッチ提供時期を告知して欲しいです。それでもこのフォーラムには回答してくれないのでしょうか。(←GS開発の人)
>
> クラウドサービスを利用されている方は大丈夫なのでしょうか?
> 利用されている方は一度確認してみた方が良いと思いますよ。
> 早期対応を切に願っています。
  引用返信
[ 5867 ] Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: GSファンやめます
投稿日時:  2014/06/24 10:10:36
「お問合せ」から障害報告を行いましたが音沙汰なしです。
このような重大な障害を認識しているにもかかわらず放置している製品を使用し続けることはできないので、早急に他製品へ乗り換えることを検討しています。
  引用返信
[ 5870 ] Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: kon
投稿日時:  2014/06/26 13:28:34
有償サポートの内容に「セキュリティパッチの提供」とありますので、サポート契約を結んでいる方でしたら
既にパッチを受け取られているかも知れません。

有償サポートも一つの考え方だと思います。
簡単に入れ替えが可能なら、辞めるのも手ですね。
  引用返信
[ 5871 ] Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: GSファンやめます
投稿日時:  2014/06/27 00:15:16
無償利用なので早急な対応まで求めていないのですが、せめて障害報告に対して反応して欲しいのです。
  引用返信
[ 5872 ] Re: Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: ヵもそ
投稿日時:  2014/06/27 09:48:53
> 無償利用なので早急な対応まで求めていないのですが、せめて障害報告に対して反応して欲しいのです。

 たしかに、最近はリリースのタイミングで障害報告がされて、「直しました」といわんばかりの対応ですよね・・・
 無償だから仕方がないのか??
  引用返信
[ 5873 ] Re: Re: Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: GSファンやめます
投稿日時:  2014/06/27 17:34:20
>  たしかに、最近はリリースのタイミングで障害報告がされて、「直しました」といわんばかりの対応ですよね・・・
無償利用なので上記でも構わないのですが、障害報告を行った方ぐらいにはきちんと回答をして欲しいのです。障害認識していて対処予定があるのか、または当面無償版については対処予定がない等。無償利用とはいえ、障害報告した方にはそれぐらいの反応をしてくれてもよいかと。対処予定があるのであれば、すばらしいソフトなので対処を待ちたいのですが、こう反応がないと、待っていてよいのか、別のグループウェアに乗り換えを検討したほうがよいのか、判断に迷うのです。
  引用返信
[ 5874 ] Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: GSファンやめます
投稿日時:  2014/06/30 13:16:44
障害認識されたようです。
http://www.gs.sjts.co.jp/v4/seihin/bug_info.html
  引用返信
[ 5875 ] Re: Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: しんちゃん
投稿日時:  2014/07/04 08:10:29
 4.2.7 で修正されましたね。

  http://www.gs.sjts.co.jp/v4/seihin/history_4_2_7.html

> 障害認識されたようです。
> http://www.gs.sjts.co.jp/v4/seihin/bug_info.html
>
  引用返信
[ 5880 ] Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: どうでもいいけど
投稿日時:  2014/07/14 07:56:48
ここのフォーラム(というか、GSのバグについて不満を言う人)って、文句たれるだけたれておいて、
直ったらそれに対して感謝をしない人が多いですね。
見ていて気分が悪い。
  引用返信
[ 5895 ] Re: Re: 閲覧できてはいけない添付ファイルが任意に取得できる
投稿者: kon
投稿日時:  2014/07/21 09:42:19
> ここのフォーラム(というか、GSのバグについて不満を言う人)って、文句たれるだけたれておいて、
> 直ったらそれに対して感謝をしない人が多いですね。
> 見ていて気分が悪い。


それもきっと無償のなせる業なんでしょう(苦笑)
匿名なのが更に後押ししているかと思いますが。

少なくとも私は気にしていません
  引用返信
 
スレッドURL:
 

クラウド版グループウェアbycloud

Twitter
開発スタッフのつぶやき http://twitter.com/gsession_jts
Facebook
メールマガジン
GroupSessionのセキュリティ情報、アップデート情報をお伝えするメールマガジンです。(無料)
メルマガ『速報!GroupSession』
ブログ
スタッフによる開発日誌を公開しています。
「Public JTS スタッフブログ」


Copyright 日本トータルシステム株式会社