重要なお知らせ

POWER EGG2.0製品における任意のコード実行の脆弱性につきまして

2019年2月4日

最終更新日:2019/02/04


POWER EGG2.0のバージョン2.9以前において、「サーバ上で任意のコードが実行できる」という脆弱性が存在することが判明いたしました。
つきましては、対象製品並びに脆弱性の内容、影響、対策等について下記の通りご報告致します。

対象製品
POWER EGGのバージョンが、2.10cと3.0c以外の 2.x 製品
-Ver2.0.1
-Ver2.0.2 修正パッチ3以前
-Ver2.1 修正パッチ4以前(自治体版含む)
-Ver2.2 修正パッチ7以前(自治体版含む)
-Ver2.3 修正パッチ9以前(自治体版含む)
-Ver2.4 修正パッチ13以前
-Ver2.5 修正パッチ12以前(自治体版含む)
-Ver2.6 修正パッチ8以前
-Ver2.7 修正パッチ7以前(自治体版含む)
-Ver2.8 修正パッチ6以前
-Ver2.8c 修正パッチ5以前
-Ver2.9 修正パッチ4以前
脆弱性の内容

POWER EGG2.0で利用しているOSSライブラリに、ブラウザから任意のコードをサーバーで実行できるという脆弱性が存在します。

CVSS v3 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値:7.3 (重要)
 ※脆弱性の評価については共通脆弱性評価システム「CVSS v3」を利用しています。
  以下の資料をご参照ください。
  https://www.ipa.go.jp/security/vuln/CVSSv3.html

脆弱性によって発生しうる影響

攻撃が成功すると悪意のある第三者によってサーバーを完全に制御されてしまう可能性があります。
これにより、悪意のある第三者はサーバー上で不正プログラムのインストール、データの変更や削除などコンピュータを操作する可能性があります。

対策方法

保守契約中のお客様については、利用中バージョンに対応した緊急修正プログラムの適用をお願いします。
緊急修正については販売特約店様から入手をお願いします。

保守契約未締結のお客様については、本ページ下部に記載の連絡先にお問い合わせください。

- POWER EGG2.0 Ver2.5以前のバージョンをご利用の場合
POWER EGG2.0 Ver2.6以上のバージョンにバージョンアップし、本脆弱性の緊急修正プログラムを適用してください。

- POWER EGG2.0 Ver2.6からVer2.9までのお客様
ご利用中のバージョン、パッチレベルに対応した本脆弱性の緊急修正を適用してください。

利用中のバージョンの確認方法

POWER EGGのWebサーバの「スタート」メニューの「POWER EGG」グループ内の「PEWEB Version」(自治体版の場合は「PEGWEB Version」)を選択すると、メモ帳が開きます。
このファイルの最後のPatch=で始まる行に記述されているバージョン・パッチレベルがPOWER EGGのサーバーのバージョン、パッチレベルです。

(例)
  Patch=Ver.2.7 Patch 2 (2015/08/31 17:04:43)
  HotFix=Ver.2.7 #27846 (2018/11/19 19:24:12)

  バージョン2.7 Patch 2が2015年8月31日 17:04にインストールされています。
  その後、#27846のHotfixが適用されていますが、バージョン、パッチレベルはVer2.7 Patch 2です。

回避策
この脆弱性は以下に示す手順で影響を緩和できます。

POWER EGGで使用するHTTPまたはHTTPSポート番号宛の通信を信頼できるIPアドレスのみに限定するよう、IPフィルタリング機能またはルータ等にてフィルタリング設定を行うことで影響を緩和することができます。

連絡先
本件に関するお問い合わせは、お問合せページ( https://poweregg.d-circle.com/contact/vulnerability.html )からお願いいたします。

更新履歴

2019/02/04 初版