GroupSession
国産グループウェア「GroupSession」にアクセス制限不備の脆弱性http://forest.watch.impress.co.jp/docs/news/1061578.html
今日出された「既知の問題」ですが、2と3に脆弱性と同様のことが書かれているような気がするのですが、どちらが本当なのでしょう?4.7.0でもこの脆弱性があるということが公式見解でしょうかね。→それならば開発元からJVNに追加情報として報告していただきたいですね。2 他者のアカウントに登録されたショートメールのエクスポートを行うことができてしまう。3 グループ管理者が、自分の管理外のタイムカードを閲覧できてしまう > 国産グループウェア「GroupSession」にアクセス制限不備の脆弱性> http://forest.watch.impress.co.jp/docs/news/1061578.html
> 今日出された「既知の問題」ですが、2と3に脆弱性と同様のことが書かれているような気がするのですが、どちらが本当なのでしょう?4.7.0でもこの脆弱性があるということが公式見解でしょうかね。> →それならば開発元からJVNに追加情報として報告していただきたいですね。クラウドサービスもJVNの報告日(5/25)から一週間以上も経った6/2に脆弱性対応メンテナンスが行われてます。みしっとさんが言うように脆弱性が残っているのであれば現在も放置したままという事になります。クラウドの更新履歴も古いままなのでメンテナンスされたのかも謎です。もしそうなのであれば本当にヤバイですね。JVNから告知された脆弱性が残ったままの状態でクラウドを運営しているのでしょうか?普通はJVNから公に告知される前に脆弱性対応されるかと思うのですが。どのようなポリシーで運営されているのか分かりませんが、対応としては終わってますね。脆弱性があるのか無いのかユーザーは知る由もありません。自動車産業であればリコール隠しと同様の責任問題だと思います。その辺日本トータルさんはどうお考えなんでしょうか?
公式見解出ましたね。(というか新たな脆弱性として対処されているはずのもダメたったということでしょうか。)早急の対処を期待しております。
TOP