GroupSession
動作環境:CentOS 6.3GSバージョンは4.2.6JDK 1.7.45Apache 2.2tomcat 7.0.42一部門で情報共有目的で利用していましたが、昨日、弊社社内SEから重大な欠陥の報告を受け現在運用を停止しています。■欠陥内容閲覧できてはいけない添付ファイルが任意に取得できる。これは何を意味するかと言うと、例えばメールの添付ファイルがメールに関係のないユーザに取得されてしまうということです。実際に任意のユーザでログインして下記URLの12345の部分を任意の数字を入れるとファイルがダウンロードされました。見てはいけないものが出ると困るので検証は数回でやめました。http://サーバのIP/gsession/smail/sml010.do?CMD=getPhotoFile&photoFileSid=12345掲示板に添付されているファイルも取得できているので機能に関係なくGS全ての添付ファイルが取得できるのだと思います。これは重大な欠陥であり、しかも、最悪なのがアプリケーションログにダウンロードしたことが残らないので、どのファイルが盗まれたか特定できません。※弊社ではこれが問題視現象を確認したのはバージョン4.2.6ですが、おそらく過去のバージョン全てに当てはまると思います。このフォーラムへバグ情報を書き込みするのもどうかと思いましたが、運用管理している立場としては大至急修正版のリリースをお願いしたいので書かせていただきました。出来ればパッチ提供時期を告知して欲しいです。それでもこのフォーラムには回答してくれないのでしょうか。(←GS開発の人)クラウドサービスを利用されている方は大丈夫なのでしょうか?利用されている方は一度確認してみた方が良いと思いますよ。早期対応を切に願っています。
Ver 4.1.3 でも確認できました。(ショートメールだけですけど)確かに取得できてしまいます。対応をお願いいたします。> > > 動作環境:CentOS 6.3> GSバージョンは4.2.6> JDK 1.7.45> Apache 2.2> tomcat 7.0.42> > 一部門で情報共有目的で利用していましたが、> 昨日、弊社社内SEから重大な欠陥の報告を受け現在運用を停止しています。> > ■欠陥内容> 閲覧できてはいけない添付ファイルが任意に取得できる。> > これは何を意味するかと言うと、例えばメールの添付ファイルがメールに関係のないユーザに取得されてしまうということです。> 実際に任意のユーザでログインして下記URLの12345の部分を任意の数字を入れるとファイルがダウンロードされました。> 見てはいけないものが出ると困るので検証は数回でやめました。> http://サーバのIP/gsession/smail/sml010.do?CMD=getPhotoFile&photoFileSid=12345> > 掲示板に添付されているファイルも取得できているので機能に関係なくGS全ての添付ファイルが取得できるのだと思います。> これは重大な欠陥であり、しかも、最悪なのがアプリケーションログにダウンロードしたことが残らないので、どのファイルが盗まれたか特定できません。※弊社ではこれが問題視> > 現象を確認したのはバージョン4.2.6ですが、おそらく過去のバージョン全てに当てはまると思います。> > このフォーラムへバグ情報を書き込みするのもどうかと思いましたが、運用管理している立場としては大至急修正版のリリースをお願いしたいので書かせていただきました。> 出来ればパッチ提供時期を告知して欲しいです。それでもこのフォーラムには回答してくれないのでしょうか。(←GS開発の人)> > クラウドサービスを利用されている方は大丈夫なのでしょうか?> 利用されている方は一度確認してみた方が良いと思いますよ。> 早期対応を切に願っています。
「お問合せ」から障害報告を行いましたが音沙汰なしです。このような重大な障害を認識しているにもかかわらず放置している製品を使用し続けることはできないので、早急に他製品へ乗り換えることを検討しています。
有償サポートの内容に「セキュリティパッチの提供」とありますので、サポート契約を結んでいる方でしたら既にパッチを受け取られているかも知れません。有償サポートも一つの考え方だと思います。簡単に入れ替えが可能なら、辞めるのも手ですね。
無償利用なので早急な対応まで求めていないのですが、せめて障害報告に対して反応して欲しいのです。
> 無償利用なので早急な対応まで求めていないのですが、せめて障害報告に対して反応して欲しいのです。 たしかに、最近はリリースのタイミングで障害報告がされて、「直しました」といわんばかりの対応ですよね・・・ 無償だから仕方がないのか??
> たしかに、最近はリリースのタイミングで障害報告がされて、「直しました」といわんばかりの対応ですよね・・・無償利用なので上記でも構わないのですが、障害報告を行った方ぐらいにはきちんと回答をして欲しいのです。障害認識していて対処予定があるのか、または当面無償版については対処予定がない等。無償利用とはいえ、障害報告した方にはそれぐらいの反応をしてくれてもよいかと。対処予定があるのであれば、すばらしいソフトなので対処を待ちたいのですが、こう反応がないと、待っていてよいのか、別のグループウェアに乗り換えを検討したほうがよいのか、判断に迷うのです。
障害認識されたようです。http://www.gs.sjts.co.jp/v4/seihin/bug_info.html
4.2.7 で修正されましたね。 http://www.gs.sjts.co.jp/v4/seihin/history_4_2_7.html> 障害認識されたようです。> http://www.gs.sjts.co.jp/v4/seihin/bug_info.html>
ここのフォーラム(というか、GSのバグについて不満を言う人)って、文句たれるだけたれておいて、直ったらそれに対して感謝をしない人が多いですね。見ていて気分が悪い。
> ここのフォーラム(というか、GSのバグについて不満を言う人)って、文句たれるだけたれておいて、> 直ったらそれに対して感謝をしない人が多いですね。> 見ていて気分が悪い。それもきっと無償のなせる業なんでしょう(苦笑)匿名なのが更に後押ししているかと思いますが。少なくとも私は気にしていません
TOP